SymfonyとTwigを使用しているIT環境も更新が必要です。
Drupalのオープンソースコンテンツ管理プラットフォームの管理者は、本日発行された緊急パッチをインストールするために急いでおり、アプリケーションのコアにある「非常に重大な」SQLインジェクション脆弱性を修正しています。
この脆弱性はPostgreSQLデータベースを使用するWebサイトのみに影響しますが、Drupalで使用されるPHPパッケージおよびWebアプリケーションフレームワークのセットであるSymfonyと、PHP プログラミング言語用のオープンソーステンプレートエンジンであるTwigに、上流の問題がある可能性があります。その結果、Twigはバージョン3.26.0に更新され、Symfonyは一連のセキュリティアドバイザリを発表しました。
その結果、Drupalは、SQLインジェクション脆弱性が自分たちのシステムに影響するかどうかにかかわらず、これらのアプリケーションを使用している管理者にそれらを更新するよう促しています。幸いなことに、本日発行されたDrupalの修正には、SymfonyとTwigの両方の更新が含まれています。
DrupalのコアのCVE-2026-9082という脆弱性は、データベースに対するクエリがSQLインジェクション攻撃を防ぐためにサニタイズされるようにするデータベース抽象化APIにあります。
警告の中で、DrupalはこのAPI内の脆弱性により、攻撃者がPostgreSQLデータベースを使用しているサイトに対して、任意のSQLインジェクションをもたらす特別に作成されたリクエストを送信できると述べています。これは情報開示につながる可能性があり、場合によっては権限昇格、リモートコード実行(RCE)、または他の攻撃につながる可能性があります。
この脆弱性は匿名ユーザーによって悪用される可能性があります。
Drupalの管理者は月曜日からサポートされているすべてのブランチのコアセキュリティリリースが来ることを知っていました。Drupalセキュリティチームは、管理者に5月20日の更新のために時間を確保するよう促していました。「エクスプロイトは数時間または数日以内に開発される可能性があるため」です。
Drupalパッチはサポートされているブランチ11.3、11.2、10.6、および10.5をカバーしています。パッチをインストールした後、管理者はソフトウェアの新しいバージョンに更新する必要があります。
11.1.x、11.0.x、10.4.x以下のバージョンはサポート終了であり、公式修正の対象外です。ただし、この欠陥の深刻さのため、Drupalはまもなくサポートされていないパッチを発行します。これはベストエフォート提供されます。Drupal 9のいずれかのバージョンのユーザーは、Drupal 9.5パッチを手動で適用することができます。Drupal 8.9のユーザーは、Drupal 8.9パッチを手動で適用することができます。ただし、これらのサポートされていないバージョンには、以前に開示されたその他のセキュリティ脆弱性が含まれます。
Drupal 7は影響を受けません。
Drupal Stewardウェブアプリケーションファイアウォールを使用するサイトは既に既知の攻撃ベクトルから保護されていますが、追加の攻撃ベクトルが発見された場合に備えて、近い将来アップグレードする必要があると同社は述べました。
「それは厄介な脆弱性です」とEnderleグループを率いるコンサルタントのロバートエンダーレ氏がコメントしました。「それは聞こえるのと同じくらい悪いです。」
Drupalの管理者は今すぐパッチを適用する必要があります、と彼は言いました。現在サポートされているブランチに基づいて、Drupal Coreを直ちに更新してください。「まだ手をこまねいている」サポートされていない、サポート終了したDrupalバージョン8または9のユーザーは、提供される手動のベストエフォートパッチを適用する必要があります。さらに良いことに、彼は付け加えた、彼らはできるだけ早くDrupalの最新バージョンへの移行を優先すべきです。
「PostgreSQLをお使いでない場合は無視しないでください」とEnderleは強調しました。「ITがMySQLまたはSQLiteを実行していて、メイン[Drupal]バグから安全だと思っていても、それでもアップデートを適用する必要があります。このリリースには、すべての環境に影響するSymfonyおよびTwig依存関係の重大な上流セキュリティ修正が含まれています。」
さらに、彼は言った、管理者はアクセス権限をロックダウンする必要があります。Twig脆弱性のため、ITはViewsまたは他のモジュール経由でTwigテンプレートを更新する能力を実際に持っているユーザーを監査し、そのアクセスを信頼できる管理者のみに制限する必要があります。
Enderleはまた、管理者にPostgreSQLとウェブアプリケーションファイアウォールログを調べるよう促し、「このパッチに至るまでの奇妙な匿名ユーザーアクティビティまたは疑わしいSQLクエリ」を探すよう促しました。
Info-Tech Research Groupの主任サイバーセキュリティアドバイザーであるフリッツジャンルイス氏は、Drupal管理者が直ちに行動する必要があることに同意しました。Drupalデータベースは脅威アクターによって悪用される可能性のある機密の個人情報を含む可能性があるため、脆弱性はPostgresデータベースに特別に作成されたクエリを送信するための技術的知識を持つ誰でも悪用される可能性があるからです。
それも不満です、と彼は言った、SQLインジェクション脆弱性が今も見つかっています。「業界として、私たちは言い訳がなくなっています」なぜ彼らがアプリケーションに現れ続けるのかについて、と彼は言いました。これおよび同様のSQLインジェクション脆弱性は、いくつかの組織のアプリケーション開発ライフサイクルの弱点を示しています。
