Formatter Field - Critical - PHP object injection - SA-CONTRIB-2026-048
日本時間2026/6/18、Formatter Fieldにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。
●プロジェクト :Formatter Field
●投稿日 :2026/6/18 JST
●セキュリティリスク :Critical
●脆弱性 :PHP object injection
●対象バージョン : <2.0.0
==概要==
Formatter Fieldモジュールは、フィールドの表示に使用するフォーマッターおよびフォーマッター設定をエンティティごとに指定できる仕組みを提供します。
formatter_fieldは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。
