「Drupal」のSQLi脆弱性、悪用確認で米当局が対策呼びかけ

コンテンツマネジメントシステムである「Drupal」に深刻な脆弱性が見つかった問題で、悪用が確認されているとして米当局が注意を呼びかけている。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は現地時間2026年5月22日、「Drupal Core」に見つかった脆弱性「CVE-2026-9082」の悪用が確認されたとして「悪用が確認された脆弱性カタログ（KEV）」に追加した。

「データベース抽象化API」に判明した脆弱性で、「PostgreSQL」を利用するサイトでSQLインジェクションが可能となる。悪用されると、情報漏洩にくわえて、構成によっては権限の昇格やリモートからのコード実行につながるおそれがある。

CISAでは、2026年5月27日までに対策を講じるよう米行政機関に促すとともに、利用者に対して広く注意を呼びかけている。

同脆弱性に関して、「Drupal」のセキュリティチームは、重要度を5段階中もっとも高い「高クリティカル（Highly Critical）」とし、脆弱性の公開にあたって事前予告も行い、早急な対応を呼びかけていた。共通脆弱性評価システム「CVSSv3.1」におけるベーススコアも「9.8」と高い。

さらに悪用の試みが実際に検知されたことを受け、協定世界時2026年5月22日にリスク評価を上方修正した。今回のアップデートでは「CVE-2026-9082」以外にも依存関係にあるソフトウェアを更新しており、利用環境に関係なく対策を講じるよう強く推奨している。

（Security NEXT - 2026/05/25 ） ツイート

PR

関連記事

「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
HPのLinux向け印刷ソフトに深刻な脆弱性 - アップデートを呼びかけ
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
「TrendAI Apex One」に複数脆弱性 - 一部はすでに悪用
「Drupal」が緊急更新を予定 - 数時間で脆弱性悪用の可能性
「Drupal」に深刻なSQLi脆弱性 - 影響ない環境も更新を強く推奨
ワークロード保護製品「Cisco Secure Workload」に深刻な脆弱性
「NGINX JavaScript」に深刻な脆弱性 - 修正版が公開