2026/3/12 (日本時間：GMT+9)、Unpublished Node Permissionsにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Unpublished Node Permissions
●投稿日　：2026/3/12
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.7.0
 

==概要== 
このモジュールは、ノードコンテンツタイプごとに権限を作成し、コンテンツタイプごとに未公開ノードへのアクセスを制御します。

このモジュールは未公開の翻訳済みノードへのアクセス制御を一貫して行っていません。
 

2026/3/4 (日本時間：GMT+9)、AJAX Dashboardにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：AJAX Dashboard
●投稿日　：2026/3/4
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<3.1.0
 

2026/2/25 (日本時間：GMT+9)、SAML SSO - Service Providerにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：SAML SSO - Service Provider
●投稿日　：2026/2/25
●セキュリティリスク　：Critical
●脆弱性　：Cross-site scripting
●対象バージョン　：<3.1.3
 

==概要== 
このモジュールは、DrupalサイトでSAMLプロトコルに基づくシングルサインオン（SSO）を実行できるようにします。

このモジュールはユーザー入力を十分にサニタイズしていないため、反射型クロスサイトスクリプティング（XSS）の脆弱性が生じています。
 

2026/1/14 (日本時間：GMT+9)、Microsoft Entra ID SSO Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Microsoft Entra ID SSO Login
●投稿日　：2026/1/14
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.0.4
 

==概要== 
このモジュールは、DrupalサイトがOAuth 2.0を使用してMicrosoft Entra ID（旧Azure AD）経由でユーザーを認証することを可能にします。

このモジュールはMicrosoftからのAPI応答を十分に検証していないため、対象ユーザーの認証情報やメールアカウントへのアクセス権限なしに、サイト管理者を含む任意のユーザーアカウントを完全に乗っ取ることが可能です。
 

==解決方法==

2025/12/3 (日本時間：GMT+9)、Disable Login Pageにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Disable Login Page
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.1.3
 

2025/12/3 (日本時間：GMT+9)、Next.jsにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Next.js
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.6.4 || >=2.0.0 <2.0.1
 

2025/10/29 (日本時間：GMT+9)、Simple OAuth (OAuth2) & OpenID Connectにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Simple OAuth (OAuth2) & OpenID Connect
●投稿日　：2025/10/29
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>=6.0.0 <6.0.7
 

2025/9/24 (日本時間：GMT+9)、JSON Fieldにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：JSON Field
●投稿日　：2025/9/24
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting

==概要== 
このモジュールは、オプションのサードパーティ製ライブラリを使用してJSONデータを保存・表示することを可能にします。

このモジュールは組み込みのフィールドフォーマッタの一部を使用してデータを十分にフィルタリングしないため、クロスサイトスクリプティング（XSS）の脆弱性が生じます。 
 

2025/8/27 (日本時間：GMT+9)、Owl Carousel 2において脆弱性が発表されました。


●プロジェクト　：Owl Carousel 2
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/8/27 (日本時間：GMT+9)、API Key managerにおいて脆弱性が発表されました。


●プロジェクト　：API Key manager
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported