概要
Drupal セキュリティチームは 2026年5月20日、Drupal コアのデータベース抽象化 API に SQL インジェクション (SQL Injection) 脆弱性(CVE-2026-9082)が存在することを公表しました。深刻度は Highly Critical(20/25) であり、PostgreSQL を使用しているすべての Drupal サイトが影響を受けます。認証なしの匿名ユーザーでも悪用可能であり、情報漏洩・権限昇格・リモートコード実行 (Remote Code Execution / RCE) につながる危険性があるため、直ちに最新版へのアップデートが必要です。
目次
1. 何が起きたか
2026年5月20日、Drupal セキュリティチームはセキュリティアドバイザリ SA-CORE-2026-004 を公開しました。
Drupal コアには、データベースへのクエリを安全に実行するための「データベース抽象化 API」が実装されています。今回発見された脆弱性は、この API に存在するもので、攻撃者が細工したリクエストを送信することで任意の SQL インジェクションが可能になります。
「この脆弱性は PostgreSQL データベースを使用しているサイトにのみ影響します。ただし、今回のリリースに含まれるサードパーティ依存ライブラリの更新はすべてのサイトに適用されます。」
― Drupal セキュリティアドバイザリ SA-CORE-2026-004
2. 脆弱性の詳細
| 項目 | 内容 |
|---|---|
| CVE 番号 | CVE-2026-9082 |
| アドバイザリ | SA-CORE-2026-004 |
| 脆弱性の種類 | SQL インジェクション (SQL Injection) |
| 深刻度 | Highly Critical(20 / 25) |
| リスク評価 | AC:None / A:None / CI:All / II:All / E:Theoretical / TD:Uncommon |
| 攻撃に必要な認証 | 不要(匿名ユーザーによる悪用が可能) |
| 影響を受ける DB | PostgreSQL のみ(MySQL・SQLite は対象外) |
| 想定される影響 | 情報漏洩・権限昇格・リモートコード実行(RCE) |
| 発覚・公表日 | 2026年5月20日 |
| 報告者 | Michael Maturi(michaelmaturi) |
重要: MySQL や SQLite を使用している Drupal サイトはこの SQL インジェクション脆弱性の直接的な影響を受けません。ただし、Symfony・Twig の依存ライブラリに含まれる別の脆弱性はすべての環境に影響する可能性があるため、アップデートは全サイトに推奨されます。
3. 影響を受けるバージョンと修正版
修正済みバージョン一覧
| 使用中のバージョン | 修正版(アップデート先) |
|---|---|
| Drupal 11.3.x | Drupal 11.3.10 |
| Drupal 11.2.x | Drupal 11.2.12 |
| Drupal 11.1.x / 11.0.x | Drupal 11.1.10 |
| Drupal 10.6.x | Drupal 10.6.9 |
| Drupal 10.5.x | Drupal 10.5.10 |
| Drupal 10.4.x 以前 | Drupal 10.4.10 |
| Drupal 9 | 手動パッチ(9.5用) |
| Drupal 8.9 | 手動パッチ(8.9用) |
注意: Drupal 8・9 はすでにサポート終了(End of Life)です。今回提供されたパッチはベストエフォートであり、他の未修正の脆弱性が残存している可能性があります。早急に Drupal 10 以降へのアップグレードを推奨します。
4. 推奨対応手順
【最優先】Drupal コアを最新版にアップデートする
使用中のバージョンに対応する修正版(上記一覧参照)にアップデートしてください。
Composer を使用している場合:
composer update drupal/core --with-all-dependencies
drush updb
drush cr管理画面からアップデートする場合:
- 管理画面 → 「レポート」→「利用可能なアップデート」を確認
- 対象バージョンへアップデートを実施
【全サイト対象】Symfony・Twig の依存ライブラリも更新する
今回のリリースには Symfony と Twig のセキュリティアップデートが含まれています。PostgreSQL を使用していないサイトも含め、すべての Drupal サイトで依存ライブラリのアップデートを実施してください。
【追加対策】Twig テンプレートの編集権限を見直す
Views や外部モジュールを通じて Twig テンプレートを編集できるユーザーロールを確認し、不要な権限を削除してください。
5. まとめ・YJK からのコメント
今回の脆弱性は、認証なしの匿名ユーザーでも悪用可能という点が特に深刻です。Drupal を利用した公開 Web サイトや会員向けサービスでは、攻撃者からのリクエストを完全に遮断することは困難であり、パッチ適用が唯一の根本的な対策となります。
また、Drupal 8・9 のサポート終了環境での手動パッチ適用はあくまでも暫定対応であり、他の既知脆弱性への対処がされないままになります。バージョンアップを伴う根本的な対応を強く推奨します。
以下の組織は特に優先度を上げて対応してください:
- PostgreSQL を使用して Drupal サイトを運用している企業・団体
- Drupal 8・9 のサポート終了バージョンを使用し続けている環境
- Composer によるアップデート管理が行われていない環境
YJK では、Drupal サイトのセキュリティ診断・バージョンアップ支援・脆弱性対応コンサルティングを承っております。自社環境への影響確認でお困りの場合は、お気軽にご相談ください。
出典
- Drupal Security Advisory: SA-CORE-2026-004 — Drupal core – Highly critical – SQL injection(2026年5月20日)