Drupalセキュリティチームは、Drupalコアに影響を与える極めて重大な脆弱性について警告を発出し、2026年5月20日(PSA-2026-05-18)のセキュリティリリースをスケジュールしています。
この欠陥は20/25の深刻度評価を持ち、公開後間もなく攻撃者が影響を受けたウェブサイトを侵害する可能性が高いリスクを示しています。
勧告によると、セキュリティアップデートはUTC 17:00~21:00の間にリリースされ、管理者には直ちにパッチを適用する準備を整えることを強く促しています。
完全な技術詳細は未開示のままですが、「極めて重大」という分類は、この脆弱性が影響を受けたシステムの機密性、完全性、可用性に影響を与える可能性があることを示唆しています。
リスクと悪用懸念
Drupalセキュリティチームは、公開から数時間または数日以内にエクスプロイトコードが開発される可能性があると警告しています。これはDrupalベースのウェブサイトを運用している組織にとって、対応の窓口を狭くします。
主要なリスク指標は次の通りです:
- 攻撃の複雑さ: なし
- 影響: データの機密性と完全性の完全な侵害
- エクスプロイトステータス: 現在は理論的だが、急速に進化する可能性がある
- 技術詳細: リリースまで非開示
すべてのDrupal設定が影響を受けるわけではありませんが、サイト所有者は勧告公開直後に露出を評価する必要があります。
影響を受けるバージョン
セキュリティアップデートはすべてのサポート対象Drupalコアブランチに提供されます:
- Drupal 11.3.x
- Drupal 11.2.x
- Drupal 10.6.x
- Drupal 10.5.x
さらに、この問題の深刻さにより、古いバージョンに対しても限定的なサポートが拡張されます:
- Drupal 11.1.x (11.1.9へ更新)
- Drupal 10.4.x (10.4.9へ更新)
サポート終了バージョンの場合:
- Drupal 9.5と8.9はパッチファイルのみを受け取ります
- Drupal 7は影響を受けません
これらのパッチは問題を完全に解決することが保証されておらず、不安定性をもたらす可能性があります。
軽減と準備ステップ
管理者はリリース時間帯の前に積極的なステップを取ることをお勧めします:
- 現在のブランチ内で最新パッチバージョンに更新する
- 5月20日のメンテナンス時間を割き当てて、即座にパッチを展開する
- 勧告について公式Drupalセキュリティチャネルを監視する
- バックアップとロールバック手順を事前にテストする
Drupal Stewardを使用している組織は既知の攻撃ベクトルから保護されていますが、リリース後も迅速にアップデートを適用する必要があります。
典型的な攻撃シナリオは、認証されていない攻撃者が脆弱性を悪用してDrupalサイトへの管理アクセスを取得することです。
これはデータ盗難、ウェブサイトの改ざん、またはマルウェアの注入につながる可能性があります。たとえば、侵害された政府機関または企業ポータルは、エクスプロイトが利用可能になってから数時間以内に機密ユーザーデータを公開する可能性があります。
脆弱性の詳細は5月20日に以下を含む公式Drupalチャネルを通じてリリースされます:
- Drupalセキュリティ勧告ページ
- X、Mastodon、LinkedInなどのソーシャルメディアプラットフォーム
- 購読ユーザーへのメール通知
この勧告はDrupalセキュリティチームの複数のメンバーによって調整されており、問題の深刻さを反映しています。
翻訳元: https://gbhackers.com/critical-drupal-vulnerability-could-leave-sites-open-to-cyberattack/
