Drupalは、今週パッチが適用された重大な脆弱性CVE-2026-9082を悪用する試みがすでに見られていることを警告しています。
この脆弱性は、データベースクエリがサニタイズされてSQLインジェクションを防ぐように設計されたAPIに影響します。
「このAPIの脆弱性により、攻撃者は特別に細工されたリクエストを送信することができ、PostgreSQLデータベースを使用しているサイトで任意のSQLインジェクションが発生します」とDrupalは説明しています。
この欠陥は、認証されていない攻撃者によって悪用され、情報を取得でき、また場合によっては権限昇格およびリモートコード実行が可能です。
Drupalは、CVE-2026-9082のエクスプロイトが開示から数時間または数日以内に作成される可能性があると予測し、ユーザーに警告し、5月20日のパッチのリリース前に行いました。
このCMSは数十万のウェブサイトを駆動していますが、セキュリティホールはPostgreSQLを使用しているサイトにのみ影響し、Drupalは5%未満が影響を受けると信じています。
しかし、CVE-2026-9082のアドバイザリーは3月22日に更新され、リスクスコアが20から23に更新されたことがユーザーに通知されました。これは「エクスプロイト試みが野生環境で検出されていることを反映するため」です。なお、Drupalは脆弱性にNIST CMSSスコアリングシステムを使用しており、最大リスク評価は25であることに注目する価値があります。
Impervaは、65カ国の約6,000のサイトを対象とした15,000件以上の悪用試行を目撃したと報告しました。攻撃の約半分はゲーミングと金融サービスのウェブサイトを対象としていました。
「このパターンは、攻撃者とスキャナーが主に、脆弱なPostgreSQL対応構成で動作しているDrupalサイトを特定しようとしていることを示唆しています。現在のアクティビティは偵察と検証が主流ですが、脆弱性の性質上、成功した攻撃は迅速に探索からデータ抽出または権限昇格に移行する可能性があります」とセキュリティ企業は警告しました。
「重大」な脆弱性はDrupalでは長年パッチが適用されておらず、2019年以来、野生環境で悪用されている新しいDrupal脆弱性の報告はありません。
2019年より前に、DrupalgeddonおよびDrupalgeddon2と呼ばれる欠陥は、多くのウェブサイトを侵害するために悪用されたことで話題になりました。
翻訳元: https://www.securityweek.com/drupal-vulnerability-in-hacker-crosshairs-shortly-after-disclosure/
