2026/4/15 (日本時間：GMT+9)、Drupal coreにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Drupal core
●投稿日　：2026/4/15
●セキュリティリスク　：Critical
●脆弱性　：Cross-site scripting
●対象バージョン　：>= 8.0.0 < 10.5.9 || >= 10.6.0 < 10.6.7 || >= 11.0.0 < 11.2.11 || >= 11.3.0 < 11.3.7
 

==概要== 
DrupalコアのAJAXモーダルダイアログボックス向けjQuery統合機能では、特定のオプションに対して十分なサニタイズが行われていないため、クロスサイトスクリプティング（XSS）の脆弱性が生じる可能性があります。
 

2026/4/1 (日本時間：GMT+9)、SAML SSO - Service Providerにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　： SAML SSO - Service Provider
●投稿日　：2026/4/1
●セキュリティリスク　：Critical
●脆弱性　：Authentication bypass
●対象バージョン　：<3.1.4
 

==概要== 
このモジュールは、SAMLプロトコルに基づくシングルサインオン（SSO）をDrupalサイトで利用できるようにします。

しかしこのモジュールはアクセス制御が十分ではなく、認証回避の脆弱性が発生しています。
 

2026/3/12 (日本時間：GMT+9)、Unpublished Node Permissionsにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Unpublished Node Permissions
●投稿日　：2026/3/12
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.7.0
 

==概要== 
このモジュールは、ノードコンテンツタイプごとに権限を作成し、コンテンツタイプごとに未公開ノードへのアクセスを制御します。

このモジュールは未公開の翻訳済みノードへのアクセス制御を一貫して行っていません。
 

2026/3/4 (日本時間：GMT+9)、AJAX Dashboardにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：AJAX Dashboard
●投稿日　：2026/3/4
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<3.1.0
 

2026/2/25 (日本時間：GMT+9)、SAML SSO - Service Providerにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：SAML SSO - Service Provider
●投稿日　：2026/2/25
●セキュリティリスク　：Critical
●脆弱性　：Cross-site scripting
●対象バージョン　：<3.1.3
 

==概要== 
このモジュールは、DrupalサイトでSAMLプロトコルに基づくシングルサインオン（SSO）を実行できるようにします。

このモジュールはユーザー入力を十分にサニタイズしていないため、反射型クロスサイトスクリプティング（XSS）の脆弱性が生じています。
 

2026/1/14 (日本時間：GMT+9)、Microsoft Entra ID SSO Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Microsoft Entra ID SSO Login
●投稿日　：2026/1/14
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.0.4
 

==概要== 
このモジュールは、DrupalサイトがOAuth 2.0を使用してMicrosoft Entra ID（旧Azure AD）経由でユーザーを認証することを可能にします。

このモジュールはMicrosoftからのAPI応答を十分に検証していないため、対象ユーザーの認証情報やメールアカウントへのアクセス権限なしに、サイト管理者を含む任意のユーザーアカウントを完全に乗っ取ることが可能です。
 

==解決方法==

2025/12/3 (日本時間：GMT+9)、Disable Login Pageにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Disable Login Page
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.1.3
 

2025/12/3 (日本時間：GMT+9)、Next.jsにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Next.js
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.6.4 || >=2.0.0 <2.0.1
 

2025/10/29 (日本時間：GMT+9)、Simple OAuth (OAuth2) & OpenID Connectにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Simple OAuth (OAuth2) & OpenID Connect
●投稿日　：2025/10/29
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>=6.0.0 <6.0.7
 

2025/9/24 (日本時間：GMT+9)、JSON Fieldにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：JSON Field
●投稿日　：2025/9/24
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting

==概要== 
このモジュールは、オプションのサードパーティ製ライブラリを使用してJSONデータを保存・表示することを可能にします。

このモジュールは組み込みのフィールドフォーマッタの一部を使用してデータを十分にフィルタリングしないため、クロスサイトスクリプティング（XSS）の脆弱性が生じます。