### Drupal Coreの脆弱性: CVE-2026-9082 **Drupal** Coreで「非常に重大な」セキュリティ脆弱性が発見され、緊急のセキュリティパッチがリリースされました。**CVE-2026-9082**として追跡されているこの脆弱性は、リモートコード実行（RCE）、権限昇格、情報漏洩を含む重大なリスクをもたらします。 この脆弱性のCVSSスコアは10.0点中6.5点です。**Drupal**によると、この脆弱性はクエリを検証しSQLインジェクション攻撃を防ぐために使用されるデータベース抽象化API内に存在します。 ### 技術的詳細 **Drupal**はアドバイザリで、「このAPIの脆弱性により、攻撃者は特別に細工されたリクエストを送信し、**PostgreSQL**データベースを使用するサイトに対して任意のSQLインジェクションを引き起こすことができます」と述べています。攻撃が成功した場合、以下のような結果につながる可能性があります。 * 情報漏洩 * 権限昇格 * リモートコード実行 ### 影響を受けるバージョンと緩和策 この脆弱性は匿名ユーザーによって悪用される可能性があり、特に**PostgreSQL**を利用しているサイトに影響します。以下のバージョンには必要な修正が含まれています。 * Drupal 11.3.10 * Drupal 11.2.12 * Drupal 11.1.10 * Drupal 10.6.9 * Drupal 10.5.10 * Drupal 10.4.10 **Drupal** 7はこの脆弱性の影響を受けません。サポートされているブランチ（バージョン11.3、11.2、10.6、10.5）の更新リリースには、**Symfony**と**Twig**のアップストリームセキュリティアップデートも含まれており、最新バージョンのインストールが重要であることを強調しています。 ### サポート終了（EOL）バージョン サポート終了（EOL）となった**Drupal**バージョン9および8には、手動パッチがリリースされています。 * Drupal 9.5 * Drupal 8.9 **Drupal**は、バージョン11.1.x、11.0.x、10.4.xおよびそれ以前はEOLであり、セキュリティカバレッジを受けられないことに注意を促しています。サポートされていないバージョンに対してパッチが提供される場合でも、これらは最善の努力によるものであり、これらのバージョンは以前に開示されたセキュリティ脆弱性に対して依然として脆弱である可能性があります。