セキュリティ情報

Commerce guest registration - Critical - Unsupported - SA-CONTRIB-2026-079

Critical
拡張モジュール

日本時間2026/7/9、Commerce guest registration において脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト : Commerce guest registration 
●投稿日 :2026/7/9 JST
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Raw Formatter [Meta Tag Formatter] - Critical - Unsupported - SA-CONTRIB-2026-077

Critical
拡張モジュール

日本時間2026/7/9、Raw Formatter [Meta Tag Formatter] において脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Raw Formatter [Meta Tag Formatter]
●投稿日 :2026/7/9 JST
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Location Selector - Critical - SQL Injection - SA-CONTRIB-2026-072

Critical
拡張モジュール

日本時間2026/7/9、Location Selectorにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Location Selector
●投稿日 :2026/7/9 JST
●セキュリティリスク :Critical
●脆弱性 :SQL Injection
●対象バージョン : <1.3.0

==概要==

Location Selector モジュールは、位置情報の値を条件として絞り込みを行うための Views フィルターを提供します。

このモジュールが提供する Views フィルターの一つでは、ユーザー入力から受け取る可能性のある値のサニタイズが不十分であるため、SQL インジェクションの脆弱性につながる可能性があります。

この脆弱性は、影響を受けるフィルターを使用した View が存在し、そのフィルターがユーザー入力を受け付ける設定になっている場合にのみ影響します。

Tealium iQ Tag Management - Critical - Unsupported - SA-CONTRIB-2026-064(更新)

Critical
拡張モジュール

日本時間2026/6/25に発表された、Tealium iQ Tag Managementにおける脆弱性について、情報が更新されました。
対象モジュールをお使いの方は、確認をおすすめします。

●プロジェクト :Tealium iQ Tag Management
●投稿日 :2026/6/25(2026/6/27更新) JST
●セキュリティリスク :Critical
●脆弱性 :PHP object injection
●対象バージョン :<2.4.0

==概要==

Tealium iQ Tag Managementモジュールは、DrupalとTealium iQを連携するための機能を提供します。

Tealium iQ Tag Management - Critical - Unsupported - SA-CONTRIB-2026-064

Critical
拡張モジュール

日本時間2026/6/25、Tealium iQ Tag Managementにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Tealium iQ Tag Management
●投稿日 :2026/6/25 JST
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Geolocation Field - Critical - SQL Injection - SA-CONTRIB-2026-062

Critical
拡張モジュール

日本時間2026/6/25、Geolocation Fieldにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Geolocation Field
●投稿日 :2026/6/25 JST
●セキュリティリスク :Critical
●脆弱性 :SQL Injection
●対象バージョン : <3.15.0

==概要==

Geolocationモジュールは、座標を保存するためのフィールドを追加し、Viewsやその他のモジュールと連携するための仕組みを提供します。

このモジュールが提供するViewsフィルターの一つでは、ユーザー入力を受け付ける設定になっている場合に、入力値のサニタイズが不十分であるため、SQLインジェクションの脆弱性につながる可能性があります。

この脆弱性は、該当するViewsフィルターを使用したViewが存在し、そのフィルターがユーザー入力を受け付ける設定になっている場合にのみ影響します。

WissKI - Critical - Access bypass - SA-CONTRIB-2026-059

Critical
拡張モジュール

日本時間2026/6/25、WissKIにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :WissKI
●投稿日 :2026/6/25 JST
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン : <4.2.0

==概要==

このモジュールは、WissKIにMiradorビューアーのサポートを追加し、Miradorビューアーを使用した画像へのアノテーション機能を提供します。

このモジュールでは、ルート経由で送信されたパラメータの検証が不十分なまま、追加のチェックを行わずにそれらをセッションオブジェクトへ書き込みます。その結果、アクセスバイパスの脆弱性につながる可能性があります。

この脆弱性は、wisski_miradorサブモジュールに固有の問題であるため、影響範囲は限定されます。

==解決方法==

最新バージョンをインストールしてください。

Plotly.js Graphing - Critical - PHP object injection - SA-CONTRIB-2026-050

Critical
拡張モジュール

日本時間2026/6/18、Plotly.js Graphingにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Plotly.js Graphing
●投稿日 :2026/6/18 JST
●セキュリティリスク :Critical
●脆弱性 :PHP object injection
●対象バージョン : <3.0.2

==概要==

Plotly.js Graphingモジュールは、オープンソースのグラフ描画ライブラリであるPlotly.jsを、柔軟にカスタマイズして利用できる機能を提供します。

このモジュールは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。

Flag attendance field - Critical - PHP object injection - SA-CONTRIB-2026-049

Critical
拡張モジュール

日本時間2026/6/18、Flag attendance fieldにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Flag attendance field
●投稿日 :2026/6/18 JST
●セキュリティリスク :Critical
●脆弱性 :PHP object injection
●対象バージョン : <1.2

==概要==

Flag attendance fieldモジュールは、Flagモジュールを利用して出席情報を追加できるようにするモジュールです。

flag_attendance_fieldは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。