米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2021年5月27日(米国時間)、「Drupal Releases Security Updates|CISA」において、Drupalに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Drupal 9.1.9よりも前のバージョン
- Drupal 9.0.14よりも前のバージョン
- Drupal 8.9.16よりも前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Drupal 9.1.9
- Drupal 9.0.14
- Drupal 8.9.16
脆弱性は深刻度が中程度の緊急性(Moderately Critical: 参考「Security risk levels defined | Drupal Security Team guide on Drupal.org」)に分類されており注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。