Drupalはユーザーに警告しており、脅威アクターが開示直後に悪用する可能性のある「高度に重大な」脆弱性に対するパッチを準備していると述べています。
今週投稿された通知で、数百万のウェブサイトを支えるオープンソースコンテンツ管理システム(CMS)の開発者は、5月20日にUTC 17:00〜21:00の間にすべてのサポートされているバージョンのパッチがリリースされると述べました。
「5月20日のリリースウィンドウ中に時間を取っておいて、サイトが影響を受けているかどうか、および直ちに更新が必要かどうかを判断してください。緩和情報は勧告に含まれます」と、Drupal開発者は述べました。
彼らは、脆弱性の悪用が開示から数時間以内に作成される可能性があると信じています。
「セキュリティチームおよび他のいかなる当事者も、発表がなされるまでこの脆弱性に関する追加情報をリリースすることはできません」と開発者は述べました。
パッチはDrupalバージョン11.3.x、11.2.x、10.6.x、および10.5.xのためにリリースされます。
Drupalでは脆弱性が定期的にパッチされており、2026年までに40の問題がパッチされました。しかし、そのうちのほとんどが致命的なものではなく、ここ数年間で「高度に重大な」欠陥はありません。
さらに、2019年以来、新しいDrupal脆弱性が野生で悪用されているという報告はありません。2019年までの年間で、DrupalgeddonやDrupalgeddon2と呼ばれるものを含む複数の脆弱性が悪用されました。これらは多くのウェブサイトをハッキングするのに使用されました。
ソース: securityweek.com
