米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2026年5月22日、Drupal Coreにおける非常に深刻なSQLインジェクション脆弱性CVE-2026-9082を、既知の悪用脆弱性(KEV)カタログに追加しました。
CVE-2026-9082は、DrupalのPostgreSQL EntityQueryコンディションハンドラー(pgsql/src/EntityQuery/Condition.php)における入力サニタイズ処理の不備に起因しており、HTTPリクエストを介して渡される配列構造の処理時に特に問題が発生します。
Drupalによると、PHPのクエリ文字列パーサーは攻撃者が値だけでなく配列キーを制御することを可能にし、それらはJSON:APIやViewsなどのパイプラインを通じてそのまま保持され、最終的にサニタイズされていないSQLが直接PostgreSQLバックエンドに届くとのことです。
Drupalの公式セキュリティアドバイザリSA-CORE-2026-004は、この脆弱性を「非常に深刻」と評価し、内部重大度スコアは25点満点中23点としています。
この脆弱性は2026年5月19日に開示され、パッチリリースから48時間以内に悪用が始まりました。
研究者らは、65か国にわたる約6,000の個別サイトを標的にした15,000件以上の攻撃試行を記録しており、広範かつ日和見的な悪用キャンペーンが行われていることを示しています。
CISAによると、この脆弱性は匿名の未認証ユーザーでも悪用可能であるため特に危険であり、PostgreSQLを使用して公開されているDrupalサイトはすべて認証情報なしに即座に危険にさらされるとのことです。
Drupalは深刻度の高さを考慮し、サポートされているすべてのブランチへのパッチを発行したほか、サポート終了済みの2バージョンについても例外的なリリースを行いました。
MySQL、MariaDB、またはSQLiteデータベースを使用しているサイトは、この脆弱性の影響を受けません。
連邦民間行政府機関(FCEB)はBOD 22-01に基づき、2026年5月27日までに対処しなければなりません。CISAによると、すべての組織は以下の即時対応措置を講じるべきとのことです。
Drupalは政府ポータルやエンタープライズコンテンツプラットフォームを含む世界中の何百万ものウェブサイトで使用されており、Core レベルの脆弱性は脅威アクターにとって高価値な標的となっています。
ランサムウェアとの関連性は現時点では不明ですが、未認証のRCEを可能にするSQLインジェクション脆弱性は、データ窃取、バックドアのインストール、インフラ全体への横断的移動につながるキャンペーンにおける初期アクセスベクターとして頻繁に利用されます。
翻訳元: https://cyberpress.org/exploited-drupal-sql-injection/
