セキュリティ情報

Formatter Field - Critical - PHP object injection - SA-CONTRIB-2026-048

Critical
拡張モジュール

日本時間2026/6/18、Formatter Fieldにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Formatter Field
●投稿日 :2026/6/18 JST
●セキュリティリスク :Critical
●脆弱性 :PHP object injection
●対象バージョン : <2.0.0

==概要==

Formatter Fieldモジュールは、フィールドの表示に使用するフォーマッターおよびフォーマッター設定をエンティティごとに指定できる仕組みを提供します。

formatter_fieldは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。

Drupal core - Critical - PHP object injection - SA-CORE-2026-005

Critical
コア

日本時間2026/6/18、Drupalコアにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Drupalコア
●投稿日 :2026/6/18 JST
●セキュリティリスク :Critical
●脆弱性 :PHP object injection
●対象バージョン :<10.5.12 || >=10.6.0 <10.6.11 || >=11.2.0 <11.2.14 || >=11.3.0 <11.3.12 || 11.0.* || 11.1.*

==概要==

SA-CORE-2019-003 では、シリアライズされたデータを保存するフィールドに対して、Webサービス経由での直接の書き込みを禁止する保護機能が追加されていました。

Brute force attack protection - Critical - Unsupported - SA-CONTRIB-2026-047

Critical
拡張モジュール

日本時間2026/6/11、Brute force attack protectionにおいて脆弱性が発表されました。対象モジュールを使用している場合は対応をおすすめします。

●プロジェクト :Brute force attack protection
●投稿日 :2026/6/11 JST
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Drupal AlternativeCommerce (Basket) - Highly critical - Arbitrary PHP code execution - SA-CONTRIB-2026-038

Highly Critical
拡張モジュール

日本時間2026/5/28、Drupal AlternativeCommerce (Basket)における脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Drupal AlternativeCommerce (Basket)
●投稿日 :2026/5/28 JST
●セキュリティリスク :Highly Critical
●脆弱性 :Arbitrary PHP code execution
●対象バージョン :<2.1.17
 

==概要==
Basketモジュールを使うと、Drupalサイトでeコマースおよびチェックアウト機能を追加できるようになります。

このモジュールは現在、ユーザーから提供されたデータをPHP のunserialize()に渡す前に十分にサニタイズしていません。

Drupal core - Highly critical - SQL injection - SA-CORE-2026-004

Highly Critical
コア

2026/5/20 (日本時間:GMT+9)、Drupalコアにおける脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト :Drupalコア
●投稿日 :2026/5/20
●セキュリティリスク :Highly Critical
●脆弱性 :SQL injection
●対象バージョン :>= 8.9.0 < 10.4.10 || >= 10.5.0 < 10.5.10 || >= 10.6.0 < 10.6.9 || >= 11.0.0 < 11.1.10 || >= 11.2.0 < 11.2.12 || >= 11.3.0 < 11.3.10
 

==概要== 
Drupalコアには、データベースに対して実行されるクエリをサニタイズし、SQLインジェクション攻撃を防ぐためのデータベース抽象化APIが含まれています。

Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18

Highly Critical
コア

2026/5/19(JST)、Drupalコアにおける脆弱性情報が発表されました。
詳細を確認のうえ、対応をおすすめします。

●プロジェクト :Drupalコア
●投稿日 :2026/5/19 JST
●セキュリティリスク :Highly Critical
●脆弱性 :未公開(2026/5/21 JST 公開予定)
 

==概要== 
日本時間2026年5月21日2:00〜6:00の間に、サポート対象となっているすべてのDrupalコアブランチ向けのセキュリティリリースが公開されます。Drupalセキュリティチームは、この時間帯にコアのアップデート作業時間を確保することを強く推奨しています。エクスプロイトは数時間から数日で開発される可能性があります。

すべての構成が影響を受けるわけではありません。セキュリティリリースの時間帯には、対象サイトが影響を受けるかどうか、および緊急アップデートが必要かどうかを確認するための時間を確保してください。回避策に関する情報はアドバイザリに含まれる予定です。

Date iCal - Critical - Information disclosure - SA-CONTRIB-2026-037

Critical
拡張モジュール

2026/5/13 (日本時間:GMT+9)、Date iCalにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Date iCal
●投稿日 :2026/5/13
●セキュリティリスク :Critical
●脆弱性 :Information disclosure
●対象バージョン :<4.0.15
 

==概要== 
このモジュールはエンティティの日付フィールドをiCalフィードとしてエクスポートできるようにします。
このモジュールでは、iCalフィードを生成する際に、エンティティやフィールドへのアクセス権限の確認、およびユーザー入力のサニタイズが十分に行われていません。
この脆弱性はいかなる権限設定によっても影響範囲が限定されません。該当ルートには、すべての匿名ユーザーが特別な設定をせずにアクセス可能です。
 

Drupal core - Critical - Cross-site scripting - SA-CORE-2026-001

Critical
コア

2026/4/15 (日本時間:GMT+9)、Drupal coreにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Drupal core
●投稿日 :2026/4/15
●セキュリティリスク :Critical
●脆弱性 :Cross-site scripting
●対象バージョン :>= 8.0.0 < 10.5.9 || >= 10.6.0 < 10.6.7 || >= 11.0.0 < 11.2.11 || >= 11.3.0 < 11.3.7
 

==概要== 
DrupalコアのAJAXモーダルダイアログボックス向けjQuery統合機能では、特定のオプションに対して十分なサニタイズが行われていないため、クロスサイトスクリプティング(XSS)の脆弱性が生じる可能性があります。