技術的な説明
Drupal Coreには、PostgreSQLをデータベースバックエンドとして使用するインストールに影響するデータベース抽象化API内のSQL Injection脆弱性(CWE-89)が含まれています。この脆弱性は、影響を受けるDrupalサイトに送信された特別に細工されたリクエストを通じて匿名ユーザーによって悪用可能です。Drupalは2026年5月20日にセキュリティ勧告SA-CORE-2026-004で問題を開示し、「極めて重大」と評価しました。CISAはアクティブな悪用が野生で確認された後、2026年5月22日にCVE-2026-9082をKnown Exploited Vulnerabilitiesカタログに追加しました。悪用に成功すると、情報漏洩、権限昇格、リモートコード実行、またはその他の後続攻撃が発生する可能性があります。Drupalは管理者に対し、公開勧告から数時間または数日以内に悪用が開発される可能性があると警告しました。
攻撃経路
SQL Injectionは、PostgreSQLクエリを処理する際にDrupal Core内の事前認証パスを介してトリガーされます。公開研究では、/user/login?_format=jsonが脆弱なコードシンクへの1つの匿名ルートとして特定されました。攻撃者は、データベース抽象化レイヤーにSQLコマンドを注入する悪意のあるリクエストを作成し、認証をバイパスして任意のSQL操作を実行できます。この欠陥は、固定されたリリース前の8.9.0から複数の10.xおよび11.xブランチまでのDrupal Coreバージョンに影響します。
影響を受けるシステム
PostgreSQLデータベースバックエンドを使用するDrupal Coreインストール:Drupal 8.9.0から10.4.10未満;10.5.x から10.5.10未満;10.6.x から10.6.9未満;11.0.xおよび11.1.x から11.1.10未満;11.2.x から11.2.12未満;11.3.x から11.3.10未満。MySQL、MariaDB、またはSQLiteを使用するインストールはSQL Injection成分の影響を受けませんが、バンドルされたSymfonyおよびTwigセキュリティ修正のために更新する必要があります。
緩和策
実行中のブランチの固定されたDrupal Coreバージョンに直ちにアップグレードしてください:10.4.10、10.5.10、10.6.9、11.1.10、11.2.12、または11.3.10。サポート終了されたブランチ(Drupal 8.x、9.x、および古い10.xおよび11.x マイナー)の場合、Drupalは例外的なベストエフォート パッチをリリースしました。ただし、サポートされるブランチへの移行が唯一の長期セキュリティソリューションです。インストールがPostgreSQLを使用しているかどうかを確認してください。そうでない場合、SQL Injectionは適用されませんが、他のセキュリティ修正のために更新は依然として推奨されます。2026年5月18日以降のログで、/user/login?_format=jsonへの異常なPOSTトラフィック、500エラーレスポンス、または異常なJSON:APIリクエストを確認してください。連邦機関はCISA KEVガイダンスに従い、2026年5月27日までに修復する必要があります。