United States Computer Emergency Readiness Team (US-CERT)は2020年3月18日(米国時間)、「Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001|Drupal.org」において、Drupalにセキュリティ脆弱性が存在すると伝えた。これらセキュリティ脆弱性を利用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Drupal 8.8.4より前のDrupal 8.8系
  • Drupal 8.7.12より前のDrupal 8.7系

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Drupal 8.8.4
  • Drupal 8.7.12

Drupal 7 Coreはこの脆弱性の影響を受けないとされている。ただし、サードパーティ製のCKEditorライブラリをインストールした場合は、ダウンロードしたライブラリがCKEditor 4.1.4以降に更新されていることおよびCDN URLがCKEditor 4.1.4以降のバージョンを指していることを確認する必要がある。

  • Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001|Drupal.org

    Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001 | Drupal.org

この脆弱性は深刻度が緊急(Critical)から重大(High)の間に分類されており注意が必要。脆弱性を修正した最新版がリリースされているので、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することが推奨される。