Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Drupal」のSQLi脆弱性、悪用確認で米当局が対策呼びかけ

コンテンツマネジメントシステムである「Drupal」に深刻な脆弱性が見つかった問題で、悪用が確認されているとして米当局が注意を呼びかけている。

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間2026年5月22日、「Drupal Core」に見つかった脆弱性「CVE-2026-9082」の悪用が確認されたとして「悪用が確認された脆弱性カタログ(KEV)」に追加した。

「データベース抽象化API」に判明した脆弱性で、「PostgreSQL」を利用するサイトでSQLインジェクションが可能となる。悪用されると、情報漏洩にくわえて、構成によっては権限の昇格やリモートからのコード実行につながるおそれがある。

CISAでは、2026年5月27日までに対策を講じるよう米行政機関に促すとともに、利用者に対して広く注意を呼びかけている。

同脆弱性に関して、「Drupal」のセキュリティチームは、重要度を5段階中もっとも高い「高クリティカル(Highly Critical)」とし、脆弱性の公開にあたって事前予告も行い、早急な対応を呼びかけていた。共通脆弱性評価システム「CVSSv3.1」におけるベーススコアも「9.8」と高い。

さらに悪用の試みが実際に検知されたことを受け、協定世界時2026年5月22日にリスク評価を上方修正した。今回のアップデートでは「CVE-2026-9082」以外にも依存関係にあるソフトウェアを更新しており、利用環境に関係なく対策を講じるよう強く推奨している。

(Security NEXT - 2026/05/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

iOS版「Firefox」にアドレスバー偽装が可能となる脆弱性
VPNクライアント「Omnissa Workspace ONE Tunnel」のWindows版に脆弱性
プリンタ「HP DeskJet 2800シリーズ」に脆弱性 - 機密情報漏洩のおそれ
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
マルウェア対策ソフト「ClamAV」に複数脆弱性 - Cisco製品にも影響