DrupalセキュリティチームはSA-CORE-2026-004を正式にリリースし、ほぼすべてのサポートおよびレガシーバージョンのDrupalコアのデータベース抽象化API全体に影響を与える、極めて重大なSQLインジェクション脆弱性(CVE-2026-9082)にパッチを当てました。
Drupalの重大度スケールで20/25と評価され、攻撃ベクトルプロフィールはAC:None/A:None/CI:All/II:All/E:Theoretical/TD: Uncommonで、この欠陥は悪用に認証を必要とせず、サイトデータの機密性と完全性を完全に公開する可能性があります。
Drupalコアのデータベース抽象化APIは、SQLインジェクションを防ぐため、実行前にすべてのクエリをサニタイズします。
CVE-2026-9082はこの保護を破り、攻撃者が抽象化レイヤーをバイパスして生の悪意あるSQLをPostgreSQLバックエンドに直接配信する特別に細工されたHTTPリクエストを送信することを可能にすると、Drupalは述べています。
成功した悪用は、情報開示、権限昇格、および特定の構成ではリモートコード実行につながる可能性があります。
PostgreSQLデータベースを使用するサイトのみが、コアSQLインジェクションベクトルから直接影響を受けます。ただし、MySQLベースのサイトも更新を適用する必要があります。バンドルされたSymfonyおよびTwig依存パッチが同じリリースに含まれているためです。
現在サポートされているすべてのDrupalコアブランチ11.3.x、11.2.x、10.6.x、および10.5.xは、この問題を修正する公式セキュリティリリースを受け取ります。
11.1.xおよび10.4.x以前を含むサポート終了マイナーバージョンは、それぞれバージョン11.1.10および10.4.10でベストエフォートリリースを受け取りますが、Drupalセキュリティチームはこれらがリグレッションフリーであることを保証しません。
まだDrupal 8.9.xまたは9.5.xの両方の完全なサポート終了メジャーバージョンを実行しているサイトは、自動ツールなしで適用する必要があるマニュアルパッチファイルのみを受け取ります。安定性の保証はありません。Drupal 7はこの脆弱性の影響を受けません。
CVE-2026-9082はDrupalコアに由来しますが、DrupalセキュリティチームはDrupal CMS環境も潜在的に脆弱であることを確認しました。これはDrupalコアを依存関係としてバンドルしているためです。
パッチはサイトをオフラインにすることなく数分でインストールでき、即座の修復への摩擦の障壁を排除すると、Drupalは述べています。
プラットフォームレベルのWAFサービスであるDrupal Stewardに登録されているサイトは、既知の攻撃ベクトルから既に保護されています。ただし、公開パッチ開示後に新しい悪用ベクトルが出現する可能性があるため、セキュリティチームは依然としてアップグレードを強く勧めています。
セキュリティチームと管理者は、次の点について遅延なく行動すべきです。
本開示は2026年のDrupalコアセキュリティアドバイザリの4番目であり、SA-CORE-2026-001(CVE-2026-6365、jQuery XSS)、SA-CORE-2026-002(CVE-2026-6366、Gadget Chain)、およびSA-CORE-2026-003(CVE-2026-6367、CKEditor XSS)に続き、すべて2026年4月に発行されました。
Drupalエコシステムにおける脆弱性発見のペースの加速は、特にDrupalがミッションクリティカルポータルを支える企業、政府、および教育展開において、最新のインストールを維持する緊急性を強調しています。
翻訳元: https://cyberpress.org/drupal-core-vulnerability/
