Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2020.02.24(月)

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

世界的なシェアを誇る CMS ソフトウェア である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

世界的なシェアを誇る CMS ソフトウェアである Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。悪意あるユーザに脆弱性を悪用されてしまった場合、侵入されてしまう危険性や意図していない動作を強制されてしまう可能性が考えられます。アップデートにより早急に対策してください。

◆分析者コメント

Drupal 7 系と Drupal 8 系に対応したエクスプロイトコードがそれぞれ公開されており、Drupal 6 系以下に対応したエクスプロイトコードは公開されていませんが、幅広いバージョンの Drupal に影響を及ぼすものです。公開されているエクスプロイトコードでは対応していないバージョンの Drupal に対応した、非公開のエクスプロイトコードが攻撃に使われる可能性はあると考えられます。攻撃クエリが簡素であるため、Drupal が稼働しているホストに対して悪用を試みられる可能性が高いです。Drupal を利用した Web サイトを運用している場合は、早急に対策してください。

◆深刻度(CVSS)

本記事執筆時点 (2018 年 4 月 17 日) で CVSS 値の情報の公開を確認していません。

◆影響を受けるソフトウェア

以下のバージョンの Drupal が当該脆弱性の影響を受けます。

  ・Drupal 8 系: 8.5.1 未満
  ・Drupal 7 系: 7.58 未満

公式情報によると、サポートが終了している Drupal 6 系などの古いバージョンでも、当該脆弱性の影響を受けると報告されています。

◆解説

世界的なシェアを誇る CMS ソフトウェア である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
《株式会社ラック サイバー・グリッド研究所》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×