米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2021年7月22日(米国時間)、「Drupal Releases Security Updates |CISA」において、オープンソースのCMSであるDrupal 7、8.9、9.1、9.2に緊急のサードパーティライブラリの脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004|Drupal.org

    Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004 | Drupal.org

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Drupal 9.2系
  • Drupal 9.1系
  • Drupal 8.9系
  • Drupal 7系

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Drupal 9.2.2
  • Drupal 9.1.11
  • Drupal 8.9.17
  • Drupal 7.82

Drupal 8.9.x系よりも前のDrupal 8系や、Drupal 9.1.x系よりも前のDrupal 9系は既にサポートが終了しており、セキュリティアップデートが提供されない点に注意が必要。該当するバージョンを使っている場合は、セキュリティアップデートが提供されているバージョンへ移行することが望まれる。

脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、ユーザおよび管理者に対して上記セキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。