概要
Drupalセキュリティチームは2026年5月20日(UTC 17:00〜21:00)、コアに存在する「高度に重大(Highly Critical)」な脆弱性に対するセキュリティアップデートを全サポートブランチ向けにリリースした。この脆弱性のCVSSスコアはNISTスケールで25点満点中20点と評価されており、認証不要・アクセス複雑度なしで悪用可能という極めて危険な性質を持つ。セキュリティチームは「公開後数時間から数日以内にエクスプロイトが作成される可能性がある」として、全管理者に即時対応を強く呼びかけた。
脆弱性の詳細
今回の脆弱性はDrupal CMSではなくDrupalコアに存在し、一部の「一般的でないモジュール設定」にのみ影響するため、スコアが最大の25点に達しなかったとされている。それでも攻撃者はページを訪問するだけで(ユーザー操作不要)、以下の被害を引き起こせる。
- サイト上のすべての非公開データへの不正アクセス
- コンテンツの無断改ざんおよび削除
CVE番号はパッチリリースまで非公開とされており、詳細は修正版とともに公開された。Drupal Stewardを利用しているサイトは既知の攻撃ベクタへの追加保護を受けられるが、それでもアップグレードが必須とされている。
影響を受けるバージョンと対応
サポート中のブランチ(即時パッチ適用が必要):
- Drupal 11.3.x、11.2.x
- Drupal 10.6.x、10.5.x
サポート終了済みだが例外的にパッチ提供:
- 11.1.x(11.1.9以上へ更新)、10.4.x〜10.0.x(10.4.9以上へ更新)
- Drupal 8.9.x、9.5.x(手動でのパッチ適用が必要。リグレッションが発生する可能性あり)
影響なし: Drupal 7
アップデート作業自体は数分〜数十秒で完了し、サイトのダウンタイムもほぼ発生しないとされている。セキュリティチームはリリース前の段階でも最新のパッチリリースへ更新しておくよう推奨していた。
今後の対応
Drupalセキュリティチームは、修正バージョンへの即時移行とともに、サポート終了ブランチを使用しているサイトの早期マイグレーションも促している。特にDrupal 8・9系のサイトは10.6以上への移行が強く推奨されており、手動パッチはあくまで一時的な緊急措置と位置づけられている。エクスプロイトが急速に出回る可能性があるため、管理者は今後の公式アナウンスを注視し、速やかに行動することが求められる。