Drupalにおけるリモートコード実行の脆弱性を検証(NTTデータ先端技術) | ScanNetSecurity
2026.07.06(月)

Drupalにおけるリモートコード実行の脆弱性を検証(NTTデータ先端技術)

NTTデータ先端技術は、Drupalに含まれるリモートコード実行に関する脆弱性(CVE-2018-7600)に関する検証レポートを公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
本脆弱性を悪用した攻撃の例
本脆弱性を悪用した攻撃の例 全 4 枚 拡大写真
NTTデータ先端技術株式会社は4月24日、Drupalに含まれるリモートコード実行に関する脆弱性(CVE-2018-7600)に関する検証レポートを公開した。この脆弱性は、2018年3月28日にDrupalのオープンソースコミュニティに所属するJasper Mattsson氏によって報告されたもので、Drupal Coreと呼ばれるDrupalの基本機能の実装において、DrupalのフォームAPIにおけるAJAXリクエストの処理機構で適切な処理がなされない欠陥に起因するもの。

この脆弱性が悪用されると、Drupal Coreと呼ばれるDrupalの基本機能の実装において、ユーザ認証を必要とせずリモートから任意のコードを実行される可能性がある。同コミュニティでは本脆弱性の深刻度を「Highly Critical」と評価している。

この脆弱性の再現性について、同社の鈴木涼太氏、野本竹春氏が検証を行った。検証は、CentOS 7.3.1611上のDrupal 8.4.5をターゲットシステムとして実施した。Drupalに対して任意のコード実行を目的とする不正に細工したHTTPリクエストをスクリプト実装し、攻撃コードを送信した。検証の結果、標的サーバ上にシステムファイルを配置し、参照可能な状態にすることに成功した。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

  4. なりすましメール対策に有効 ~ BIMIでロゴ表示するまでのプロセスを実例から学ぶ

    なりすましメール対策に有効 ~ BIMIでロゴ表示するまでのプロセスを実例から学ぶ

  5. 日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客情報流出の可能性

    日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客情報流出の可能性

ランキングをもっと見る
PageTop