Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.07.14(日)

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

世界的なシェアを誇る CMS ソフトウェア である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
Drupal.org
Drupal.org 全 1 枚 拡大写真
◆概要

世界的なシェアを誇る CMS ソフトウェアである Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。悪意あるユーザに脆弱性を悪用されてしまった場合、侵入されてしまう危険性や意図していない動作を強制されてしまう可能性が考えられます。アップデートにより早急に対策してください。

◆分析者コメント

Drupal 7 系と Drupal 8 系に対応したエクスプロイトコードがそれぞれ公開されており、Drupal 6 系以下に対応したエクスプロイトコードは公開されていませんが、幅広いバージョンの Drupal に影響を及ぼすものです。公開されているエクスプロイトコードでは対応していないバージョンの Drupal に対応した、非公開のエクスプロイトコードが攻撃に使われる可能性はあると考えられます。攻撃クエリが簡素であるため、Drupal が稼働しているホストに対して悪用を試みられる可能性が高いです。Drupal を利用した Web サイトを運用している場合は、早急に対策してください。

◆深刻度(CVSS)

本記事執筆時点 (2018 年 4 月 17 日) で CVSS 値の情報の公開を確認していません。

◆影響を受けるソフトウェア

以下のバージョンの Drupal が当該脆弱性の影響を受けます。

  ・Drupal 8 系: 8.5.1 未満
  ・Drupal 7 系: 7.58 未満

公式情報によると、サポートが終了している Drupal 6 系などの古いバージョンでも、当該脆弱性の影響を受けると報告されています。

◆解説

世界的なシェアを誇る CMS ソフトウェア である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 「ITパスポート試験」が1位に ~ 日本の資格検定アワード2023

    「ITパスポート試験」が1位に ~ 日本の資格検定アワード2023

  2. イセトーへのランサムウェア攻撃で豊田市の推定 42 万人分の個人情報が漏えい、被害発生時は契約に基づき対応

    イセトーへのランサムウェア攻撃で豊田市の推定 42 万人分の個人情報が漏えい、被害発生時は契約に基づき対応

  3. 裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

    裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

  4. NTTデータグループ ルーマニア拠点に不正アクセス、ランサムウェアによる攻撃の可能性含め解析を進める

    NTTデータグループ ルーマニア拠点に不正アクセス、ランサムウェアによる攻撃の可能性含め解析を進める

  5. 個人情報保護委員会、東京電力グループ 3 社に行政指導

    個人情報保護委員会、東京電力グループ 3 社に行政指導

  6. 「悪質な情報拡散を行う者には徹底的な法的措置」KADOKAWA グループへのランサムウェア攻撃

    「悪質な情報拡散を行う者には徹底的な法的措置」KADOKAWA グループへのランサムウェア攻撃

  7. 契約終了後もデータの削除を怠り保存が原因 ~ イセトーへのランサムウェア攻撃で和歌山市の個人情報も漏えい

    契約終了後もデータの削除を怠り保存が原因 ~ イセトーへのランサムウェア攻撃で和歌山市の個人情報も漏えい

  8. 「反社会的勢力への利益供与に応じず」ニデックインスツルメンツにランサムウェア攻撃

    「反社会的勢力への利益供与に応じず」ニデックインスツルメンツにランサムウェア攻撃

  9. 個人情報流出無し ~ 秋田県立医療療育センターウェブサイトが改ざん被害

    個人情報流出無し ~ 秋田県立医療療育センターウェブサイトが改ざん被害

  10. パルグループのサーバに不正アクセス、ポイント反映に影響

    パルグループのサーバに不正アクセス、ポイント反映に影響

ランキングをもっと見る