### Drupal SQLインジェクション脆弱性の活発な悪用 **CISA**は、**Drupal Core**に影響を与えるクリティカルなSQLインジェクション脆弱性である**CVE-2026-9082**に関するアラートを発行しました。CVSSスコア6.5のこの脆弱性は、データベース抽象化APIを介して送信される特別に細工されたリクエストを通じて、権限昇格やリモートコード実行の可能性を許容します。 ### 影響と対象バージョン この脆弱性は、**Drupal Core**のサポートされているすべてのバージョンに影響を与えます。以下のバージョンに対してパッチがリリースされています。 * Drupal 11.3.10 * Drupal 11.2.12 * Drupal 11.1.10 * Drupal 10.6.9 * Drupal 10.5.10 * Drupal 10.4.10 * Drupal 9.5 (手動でのパッチ適用が必要) * Drupal 8.9 (手動でのパッチ適用が必要) ### 実際の悪用 **Drupal**は、エクスプロイトの試みが活発に検出されていることを認めています。**Imperva**は、65カ国にわたる約6,000の個々のサイトを標的とした15,000件以上の攻撃試行を観測していると報告しています。 「現時点では、攻撃は主にゲームおよび金融サービスサイトを標的としており、全攻撃のほぼ50％を占めています」と同社は述べています。「これまでに観測された活動のほとんどは、プロービング（偵察）のようです。」 ### 攻撃パターンと推奨事項 **Imperva**によると、攻撃者は主に脆弱なPostgreSQLバックエンド構成で実行されている公開されている**Drupal**サイトを特定しようとしています。現在の活動は主に偵察ですが、成功した悪用はデータ抽出や権限昇格に迅速にエスカレートする可能性があります。 連邦民間執行機関（FCEB）は、最適な保護のために2026年5月27日までに必要なパッチを適用することが強く推奨されます。