Drupalは、オープンソースのコンテンツ管理システム(CMS)を利用するWebサイトをハッキングされるおそれのある高度に重大な脆弱性を修正しました。
CMSの開発者はパッチリリース前に、開示後数時間または数日以内にエクスプロイトが作成される可能性があることをユーザーに警告していました。
この脆弱性はCVE-2026-9082として追跡されており、NIST CMSSスコア25点中20点で「高度に重大」と評価されており、SQLインジェクション攻撃を防ぐためにデータベースクエリがサニタイズされることを確保するために設計されたAPIに影響します。
「このAPI内の脆弱性により、攻撃者は特別に細工されたリクエストを送信でき、PostgreSQLデータベースを使用しているサイトに対して任意のSQLインジェクションが発生する可能性があります」とDrupalは説明しています。
この欠陥は認証なしで悪用でき、情報の取得が可能であり、場合によっては権限昇格とリモートコード実行も可能です。
Drupalは数十万のウェブサイトを支えていますが、CVE-2026-9082はPostgreSQLを使用しているサイトのみに影響します。
パッチはDrupalバージョン11.3、11.2、10.6、および10.5.xで利用可能です。
最新のアップデートは、Drupalに影響するSymfonyおよびTwigの「重要な」脆弱性にも対処しています。
「サイトの構成と貢献モジュールに応じて、これらのアップストリーム上の問題の1つ以上に対して脆弱である可能性があるため、SQLインジェクション脆弱性があなたに影響するかどうかに関わらず、これらの依存関係を更新することを強くお勧めします」とDrupalは推奨しています。
Drupalでは脆弱性が定期的に修正されていますが、その多くは深刻ではなく、数年間「高度に重大な」欠陥はありません。
2019年以来、新しいDrupal欠陥が野生で悪用されているという報告はありません。2019年に至るまでの年間で、DrupalgeddonとDrupalgeddon2を含むいくつかの脆弱性が悪用され、多くのウェブサイトをハッキングするために使用されました。
