Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.16(月)

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

脆弱性と脅威 エクスプロイト

◆概要

世界的なシェアを誇る CMS ソフトウェアである Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。悪意あるユーザに脆弱性を悪用されてしまった場合、侵入されてしまう危険性や意図していない動作を強制されてしまう可能性が考えられます。アップデートにより早急に対策してください。

◆分析者コメント

Drupal 7 系と Drupal 8 系に対応したエクスプロイトコードがそれぞれ公開されており、Drupal 6 系以下に対応したエクスプロイトコードは公開されていませんが、幅広いバージョンの Drupal に影響を及ぼすものです。公開されているエクスプロイトコードでは対応していないバージョンの Drupal に対応した、非公開のエクスプロイトコードが攻撃に使われる可能性はあると考えられます。攻撃クエリが簡素であるため、Drupal が稼働しているホストに対して悪用を試みられる可能性が高いです。Drupal を利用した Web サイトを運用している場合は、早急に対策してください。

◆深刻度(CVSS)

本記事執筆時点 (2018 年 4 月 17 日) で CVSS 値の情報の公開を確認していません。

◆影響を受けるソフトウェア

以下のバージョンの Drupal が当該脆弱性の影響を受けます。

  ・Drupal 8 系: 8.5.1 未満
  ・Drupal 7 系: 7.58 未満

公式情報によると、サポートが終了している Drupal 6 系などの古いバージョンでも、当該脆弱性の影響を受けると報告されています。

◆解説

世界的なシェアを誇る CMS ソフトウェア である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
《株式会社ラック サイバー・グリッド研究所》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×