is702
ニュース

CMS「Drupal」に新たな脆弱性、至急アップデートの検討を

2019/02/27

独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は2月26日、オープンソースのCMS(コンテンツマネジメントシステム)である「Drupal」について、新たな脆弱性が見つかったとして注意を呼びかけました。

すでに本脆弱性を悪用する攻撃コードが公開されているとともに、Drupalのバージョンを調査する試みが確認されているとのことです。影響を受けるバージョンを利用している場合は、至急アップデートすることを検討してください。

この脆弱性(CVE-2019-6340)は、「REST API等でリクエストされたデータに対する検証不備の脆弱性」で、「RESTful Web Services」等のREST APIを利用するモジュールを有効にしている場合に、影響を受けます。悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があるとのことです。

影響を受けるバージョンは以下のとおり。

・Drupal 8.6.10より前の、8.6系のバージョン。
・Drupal 8.5.11より前の、8.5系のバージョン。

最新版が公開されていますので、該当するユーザは、至急アップデートしてください。Drupal 8.4.x等、古いDrupal 8系バージョンについても、サポートが終了しているため、8.5.11または8.6.10へのアップデートが推奨されています。なおDrupal 7系でも、REST APIを利用するモジュールを有効にしている場合は、本脆弱性の影響を受けるとのことです。Drupal 7系について修正済みのバージョンは公開されていません。