つみかさね

CVE-2026-9082

Critical(9)

CVE-2026-9082 — Drupal Core SQLインジェクション脆弱性

公開日: 2026-06-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
drupal/coreDrupal< 10.4.10, < 10.5.10, < 10.6.9, < 11.1.10, < 11.2.12, < 11.3.10

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1使用中のDrupal Coreバージョンを確認する(composer show drupal/core)
  2. 2修正バージョン(10.4.10 / 10.5.10 / 10.6.9 / 11.1.10 / 11.2.12 / 11.3.10以降)へのアップデートを実施する
  3. 3アップデートが困難な場合はDrupalのセキュリティアドバイザリで提供される回避策を適用する

影響対象

Drupal CoreをCMSとして利用しているウェブサイト運営者

補足

  • -本番環境への適用前にステージング環境での動作確認を推奨します
CVEDrupalSQLインジェクションCMSPHP

概要

Drupal CoreにSQLインジェクションの脆弱性(CVE-2026-9082)が確認されました。世界で広く利用されているオープンソースCMS「Drupal」のコアコンポーネントに影響するため、対象バージョンを利用している場合は早急なアップデートが推奨されます。

データベースに対して不正なSQLクエリが発行される可能性があり、情報の不正取得やデータの改ざんにつながる恐れがあります。

CVSSベクトル

本脆弱性のCVSS数値スコアはGHSAにて未公表ですが、重大度はCriticalに分類されています。

項目
重大度Critical(GHSA分類)
攻撃経路ネットワーク経由(推定)
攻撃の複雑さ未公表

影響を受けるソフトウェア

製品ベンダー影響バージョン
drupal/coreDrupal< 10.4.10
drupal/coreDrupal< 10.5.10
drupal/coreDrupal< 10.6.9
drupal/coreDrupal< 11.1.10
drupal/coreDrupal< 11.2.12
drupal/coreDrupal< 11.3.10

修正バージョンと回避策

推奨: 以下の修正バージョンへアップデートしてください。

  • drupal/core 10.4.10 以降
  • drupal/core 10.5.10 以降
  • drupal/core 10.6.9 以降
  • drupal/core 11.1.10 以降
  • drupal/core 11.2.12 以降
  • drupal/core 11.3.10 以降

Composerを使用している場合は composer update drupal/core で更新できます。アップデートが困難な場合は、Drupalのセキュリティアドバイザリで提供される一時的な回避策を確認してください。

関連リンク

データソース: GitHub Advisory Database (GHSA), NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-29199phpBB Hostヘッダーインジェクションによるパスワードリセット汚染CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-9082
Drupal SA:https://www.drupal.org/sa-core-2026-004
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。