**Drupal**は、管理者に対し、今週初めに発表された「極めて重大な」SQLインジェクション脆弱性がハッカーによって積極的に悪用されようとしていると警告しています。コンテンツ管理システム（CMS）プロジェクトは当初5月18日にPSA（Public Service Announcement）を発表し、攻撃者が迅速に悪用すると予想される問題に対処するためのコアアップデートの適用を管理者に促しました。 ### CVE-2026-9082の詳細 **CVE-2026-9082**として追跡されているこの脆弱性は、**Google/Mandiant**の研究者Michael Maturiによって発見されました。これはDrupalのデータベース抽象化API内に存在し、特別に細工されたリクエストによって、**PostgreSQL**を使用しているサイトで任意のSQLインジェクションを引き起こすことができます。 SQLインジェクションは、攻撃者がウェブサイト上のユーザー入力フィールドやダイアログを介して、データベースクエリに悪意のあるSQLコマンドを挿入する重大な脆弱性です。これにより、データベースデータへの不正アクセス、改ざん、または削除が可能になります。 この脆弱性は認証なしで悪用可能であり、その深刻度と潜在的な影響を増大させています。 5月22日の更新されたアドバイザリで、Drupalは実世界での悪用試行が検出されたことを公式に確認しました。 「エクスプロイト試行が現在実世界で検出されていることを反映して、リスクスコアが更新されました」と、更新されたアドバイザリには記載されています。 Drupalは内部的にこの脆弱性を「極めて重大」と評価し、25点中23点というスコアを付けています。しかし、**NIST**はCVSS v3スコア6.5に基づいて「中程度の深刻度」と評価しています。 ### 影響と推奨事項 CVE-2026-9082は、以下の幅広いDrupalバージョンに影響を与えます。 * Drupal 8.9.x * Drupal 10.4.x (10.4.10より前) * Drupal 10.5.x (10.5.10より前) * Drupal 10.6.x (10.6.9より前) * Drupal 11.0.x / 11.1.x (11.1.10より前) * Drupal 11.2.x (11.2.12より前) * Drupal 11.3.x (11.3.10より前) ウェブサイトの所有者および管理者は、それぞれのブランチの最新バージョンに直ちにアップグレードすることを強く推奨します。 PostgreSQLを使用していない場合でも、最新のセキュリティアップデートには**Symfony**や**Twig**を含むアップストリーム依存関係の修正が含まれているため、アップデートが推奨されます。 アドバイザリでは、Drupal 8および9はEOL（End-of-Life）であり、パッチは「ベストエフォート」ベースで提供されていることを強調しています。しかし、これらのブランチには他の既知の脆弱性が依然として含まれており、継続的な使用は本質的にリスクが高いです。