技術的な説明
Drupal Core は、PostgreSQL をデータベースバックエンドとして使用するインストールに影響する、データベース抽象化 API 内の SQL インジェクション脆弱性 (CWE-89) を含んでいます。この脆弱性は、影響を受ける Drupal サイトに送信された特別に細工されたリクエストを介して、匿名ユーザーによって悪用可能です。Drupal は 2026 年 5 月 20 日にセキュリティアドバイザリ SA-CORE-2026-004 で問題を開示し、「極度に危険」と評価しました。CISA は 2026 年 5 月 22 日に CVE-2026-9082 を既知の悪用脆弱性カタログに追加し、野生での積極的な悪用を確認しました。悪用が成功すると、情報漏洩、権限昇格、リモートコード実行、またはその他の後続攻撃につながる可能性があります。Drupal は、公開アドバイザリ後、数時間から数日以内にエクスプロイトが開発される可能性があることを管理者に警告しました。
攻撃経路
SQL インジェクションは、PostgreSQL クエリを処理するときに Drupal Core の認証前パスを介してトリガーされます。公開研究により、/user/login?_format=json が脆弱なコードシンクへの 1 つの匿名ルートとして特定されました。攻撃者は、SQL コマンドをデータベース抽象化レイヤーに注入する悪意のあるリクエストを作成し、認証をバイパスして任意の SQL 操作を実行できます。この欠陥は、固定リリース前の 8.9.0 から複数の 10.x および 11.x ブランチを通じた Drupal Core バージョンに影響します。
影響を受けるシステム
PostgreSQL データベースバックエンドを使用する Drupal Core インストール: Drupal 8.9.0 (10.4.10 より前); 10.5.x (10.5.10 より前); 10.6.x (10.6.9 より前); 11.0.x および 11.1.x (11.1.10 より前); 11.2.x (11.2.12 より前); 11.3.x (11.3.10 より前)。MySQL、MariaDB、または SQLite を使用するインストールは SQL インジェクションコンポーネントの影響を受けませんが、バンドルされた Symfony と Twig のセキュリティ修正のために更新する必要があります。
緩和策
実行中のブランチの固定 Drupal Core バージョンにすぐにアップグレードしてください: 10.4.10、10.5.10、10.6.9、11.1.10、11.2.12、または 11.3.10。サポート終了ブランチ (Drupal 8.x、9.x、および古い 10.x および 11.x マイナー) の場合、Drupal は例外的なベストエフォートパッチをリリースしました。ただし、サポートされているブランチへの移行が唯一の長期的なセキュリティソリューションです。インストールが PostgreSQL を使用しているかどうかを確認してください。そうでない場合、SQL インジェクションは適用されませんが、他のセキュリティ修正のために更新が推奨されます。2026 年 5 月 18 日以降のログで、/user/login?_format=json への異常な POST トラフィック、500 エラーレスポンス、または異常な JSON:API リクエストを確認してください。CISA KEV ガイダンスに従い、連邦政府機関は 2026 年 5 月 27 日までに改善する必要があります。