Drupalは、先週発表された「極めて重大な」SQLインジェクションの脆弱性の悪用を試みるハッカーがいることを警告しています。
コンテンツ管理システム(CMS)プロジェクト ビデオプレーヤーは現在広告を再生しています。マウスまたはキーボードで5秒後に広告をスキップできます
SQLインジェクションは、攻撃者がWebサイトのユーザー入力フィールドまたはダイアログを介してデータベースクエリに悪意のあるSQLコマンドを注入し、データベースデータの不正アクセス、変更、または削除をもたらす脆弱性です。
この脆弱性は認証なしで悪用可能であり、リモートコード実行、権限昇格、および情報開示につながる可能性があります。
5月22日の勧告の更新により、Drupalは悪用の試みが検出されたことを確認しました。
「リスクスコアは、エクスプロイト試みが現在野生環境で検出されていることを反映するために更新されました」と更新された勧告に記載されています。
Drupalは脆弱性を「極めて重大」と評価し、内部スコア25点中23点を割り当てました。しかし、NISTはCVSS v3スコア6.5に基づいて「中程度の重大度」と評価しています。
影響と推奨事項
CVE-2026-9082は、以下を含むDrupalバージョンの広い範囲に影響します:
- Drupal 8.9.x
- Drupal 10.4.10より前の10.4.x
- Drupal 10.5.10より前の10.5.x
- Drupal 10.6.9より前の10.6.x
- Drupal 11.0.x / 11.1.10より前の11.1.x
- Drupal 11.2.12より前の11.2.x
- Drupal 11.3.10より前の11.3.x
Webサイトの所有者と管理者は、彼らのブランチで利用可能な最新バージョンに直ちにアップグレードすることをお勧めします。
PostgreSQLを使用していない方も、最新のセキュリティアップデートにはSymfonyやTwigを含む上流の依存関係の修正も含まれているため、アップデートをお勧めします。
勧告は、Drupal 8と9はサポート終了(EoL)であり、パッチは「ベストエフォート」ベースで提供されることを強調しています。ただし、これらのブランチには他の既知の脆弱性が含まれているため、使用を継続することは本質的にリスキーです。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実質的な価値をもたらしますが、攻撃者がネットワークを通過できるかという1つの質問に答えるために構築されました。あなたのコントロールが脅威をブロックするかどうか、検出ルールが発火するかどうか、またはクラウド構成が保持されるかどうかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
