B
今週中
Drupal coreのデータベースアクセスAPIに、PostgreSQLを使用している環境でSQLインジェクションを可能にする高深刻度の脆弱性
📌 一言でいうと
Drupal coreのデータベースアクセスAPIに、PostgreSQLを使用している環境でSQLインジェクションを可能にする高深刻度の脆弱性が発見されました。この脆弱性が悪用されると、機密情報の漏洩、権限昇格、およびリモートでの任意のコード実行(RCE)が行われる可能性があります。影響を受けるバージョンは、Drupal 8.9.0以降から11.3.xまでの広範囲にわたります。
🔍該当判定
- Webサイトの構築に「Drupal」というCMSを利用している
- Drupalのデータベースとして「PostgreSQL」を利用している
- 利用しているDrupalのバージョンが 8.9.0 以上 11.3.x 未満である
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるDrupal coreのバージョンを確認し、速やかに最新の修正済みバージョン(10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12, 11.3.xの最新版など)へアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Drupal core SQLインジェクション脆弱性への対応について
お疲れさまです。Drupal coreにおける脆弱性に関する情報共有です。
■ 概要
Drupal coreのデータベースアクセスAPIに、PostgreSQL環境でSQLインジェクションを可能にする脆弱性が確認されました。悪用された場合、機密情報の漏洩、権限昇格、およびリモートコード実行(RCE)に至る可能性があります。深刻度は「高」とされています。
■ 影響範囲
- Drupal core 8.9.0以降 〜 10.4.10未満
- 10.5.x (10.5.10未満)
- 10.6.x (10.6.9未満)
- 11.0.x (11.1.10未満)
- 11.2.x (11.2.12未満)
- 11.3.x の一部バージョン
※特にPostgreSQLを利用している環境が対象です。
■ 対応手順
1. 現在利用しているDrupal coreのバージョンおよびデータベースの種類を確認してください。
2. PostgreSQLを利用しており、上記の影響範囲に該当する場合、速やかに最新の修正済みバージョンへアップデートを適用してください。
■ 参考情報
- CSIRT-ITA Alert AL06/260521/CSIRT-ITA
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Drupal coreにおける脆弱性に関する情報共有です。
■ 概要
Drupal coreのデータベースアクセスAPIに、PostgreSQL環境でSQLインジェクションを可能にする脆弱性が確認されました。悪用された場合、機密情報の漏洩、権限昇格、およびリモートコード実行(RCE)に至る可能性があります。深刻度は「高」とされています。
■ 影響範囲
- Drupal core 8.9.0以降 〜 10.4.10未満
- 10.5.x (10.5.10未満)
- 10.6.x (10.6.9未満)
- 11.0.x (11.1.10未満)
- 11.2.x (11.2.12未満)
- 11.3.x の一部バージョン
※特にPostgreSQLを利用している環境が対象です。
■ 対応手順
1. 現在利用しているDrupal coreのバージョンおよびデータベースの種類を確認してください。
2. PostgreSQLを利用しており、上記の影響範囲に該当する場合、速やかに最新の修正済みバージョンへアップデートを適用してください。
■ 参考情報
- CSIRT-ITA Alert AL06/260521/CSIRT-ITA
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Drupal core SQL Injection Vulnerability
Dear IT Administration Team,
We are sharing information regarding a high-severity vulnerability identified in Drupal core.
■ Overview
A vulnerability in the database access API of Drupal core allows for SQL injection on sites utilizing PostgreSQL databases. Successful exploitation could lead to sensitive information disclosure, privilege escalation, and Remote Code Execution (RCE).
■ Affected Versions
- Drupal core 8.9.0 and later, up to 10.4.10
- 10.5.x (prior to 10.5.10)
- 10.6.x (prior to 10.6.9)
- 11.0.x (prior to 11.1.10)
- 11.2.x (prior to 11.2.12)
- 11.3.x (certain versions)
■ Mitigation Steps
1. Verify the current Drupal core version and database backend in use.
2. If using PostgreSQL and an affected version, immediately update to the latest patched release (e.g., 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12, or the latest 11.3.x).
■ Reference
- CSIRT-ITA Alert AL06/260521/CSIRT-ITA
Priority: High
Deadline: Immediate
Dear IT Administration Team,
We are sharing information regarding a high-severity vulnerability identified in Drupal core.
■ Overview
A vulnerability in the database access API of Drupal core allows for SQL injection on sites utilizing PostgreSQL databases. Successful exploitation could lead to sensitive information disclosure, privilege escalation, and Remote Code Execution (RCE).
■ Affected Versions
- Drupal core 8.9.0 and later, up to 10.4.10
- 10.5.x (prior to 10.5.10)
- 10.6.x (prior to 10.6.9)
- 11.0.x (prior to 11.1.10)
- 11.2.x (prior to 11.2.12)
- 11.3.x (certain versions)
■ Mitigation Steps
1. Verify the current Drupal core version and database backend in use.
2. If using PostgreSQL and an affected version, immediately update to the latest patched release (e.g., 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12, or the latest 11.3.x).
■ Reference
- CSIRT-ITA Alert AL06/260521/CSIRT-ITA
Priority: High
Deadline: Immediate