United States Computer Emergency Readiness Team (US-CERT)は11月27日(米国時間)、「Drupal Releases Security Updates |CISA」において、PHPベースのCMSソフトウェア「Drupal」に複数の脆弱性が存在し、セキュリティアップデートがリリースされたと伝えた。この脆弱性を悪用されると、攻撃者によってリモートから任意のPHPコードを実行される危険性がある。

対象の脆弱性に関する情報は公式サイトの次のページにまとめられている。

  • Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013|Drupal.org

    Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013 | Drupal.org

報告されている2件の脆弱性は、いずれもtar形式のファイルを取り扱うArchive_Tarライブラリに関連するもの。このライブラリにおいて、pherファイルのシリアライズを悪用した攻撃に対する処理に不具合があり、悪用されるとリモートから任意のPHPコードを実行される危険性があるという。

影響を受けるプロダクトおよびバージョンは次のとおり。

  • Drupal 9.0 (9.0.8以前)
  • Drupal 8.9 (8.9.9以前)
  • Drupal 8.8 (8.8.11以前)
  • Drupal 7 (7.74以前)

いずれも、最新版にアップデートすることで問題を回避することができる。また、この脆弱性は.tar、.tar.gz、.bz2、.tlzの各ファイル形式の処理に起因するもののため、これらのファイルのアップロードを禁止することでリスクを軽減できる可能性があるとのこと。

脆弱性の深刻度は「緊急(Critical)」に分類されており、Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要なアップデートを適用することを推奨している。