2025/10/29 (日本時間：GMT+9)、Simple OAuth (OAuth2) & OpenID Connectにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Simple OAuth (OAuth2) & OpenID Connect
●投稿日　：2025/10/29
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>=6.0.0 <6.0.7
 

2025/9/24 (日本時間：GMT+9)、JSON Fieldにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：JSON Field
●投稿日　：2025/9/24
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting

==概要== 
このモジュールは、オプションのサードパーティ製ライブラリを使用してJSONデータを保存・表示することを可能にします。

このモジュールは組み込みのフィールドフォーマッタの一部を使用してデータを十分にフィルタリングしないため、クロスサイトスクリプティング（XSS）の脆弱性が生じます。 
 

2025/8/27 (日本時間：GMT+9)、Owl Carousel 2において脆弱性が発表されました。


●プロジェクト　：Owl Carousel 2
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/8/27 (日本時間：GMT+9)、API Key managerにおいて脆弱性が発表されました。


●プロジェクト　：API Key manager
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/8/27 (日本時間：GMT+9)、Synchronize composer.json With Contrib Modulesにおいて脆弱性が発表されました。


●プロジェクト　：Synchronize composer.json With Contrib Modules
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

2025/8/13 (日本時間：GMT+9)、Authenticator Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Authenticator Login
●投稿日　：2025/8/13
●セキュリティリスク　：Highly Critical
●脆弱性　：Access bypass
●対象バージョン　：<2.1.4
 

2025/7/9 (日本時間：GMT+9)、Mail Loginにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Mail Login
●投稿日　：2025/7/9
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>3.0.0 <3.2.0 || >=4.0.0 <4.2.0
 

==概要== 
このモジュールは、最小限の設定でユーザーがメールアドレスでログインできるようにします。

このモジュールには、ログインフォームに対するブルートフォース攻撃への保護機能が一部組み込まれていましたが、これらの機能は不完全でした。攻撃者はブルートフォース保護を回避しアカウントへのアクセスを不正に取得する可能性があります。
 

2025/7/2 (日本時間：GMT+9)、Config Pages Viewerにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Config Pages Viewer
●投稿日　：2025/7/2
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.0.4
 

==概要== 
このモジュールは、config_pagesをコンテンツエンティティとして使用できるようにします。

このモジュールはconfig_pagesコンテンツをレンダリングする前に権限やエンティティへのアクセス権限を確認していません。
 

2025/6/25 (日本時間：GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Enterprise MFA - TFA for Drupal
●投稿日　：2025/6/25
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<4.8.0 || >=5.2.0 <5.2.1 || 5.0.* || 5.1.*
 

==概要== 
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。 

このモジュールは既知のログイン経路が十分に保護されていることを保証していません。

この脆弱性は、攻撃者がユーザーのユーザー名とパスワードを取得する必要があるという事実によって緩和されています。
 

2025/5/15 (日本時間：GMT+9)、Advanced File Destinationにおいて脆弱性が発表されました。
対象モジュールをお使いの場合は対応をおすすめします。

●プロジェクト　：Advanced File Destination
●投稿日　：2025/5/15
●セキュリティリスク　：Critical
●脆弱性　：Multiple vulnerabilities