米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月17日(現地時間)、「Drupal Releases Security Updates」において、オープンソースのCMSであるDrupalに複数の脆弱性が報告され、開発チームがセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって対象のシステム上でデータが上書きされたり、アクセスを許可されていない一部のコンテンツにアクセスされたりする危険性がある。

報告されている脆弱性は次の2件。いずれの脆弱性も重要度は「Moderately critical(中程度)」とされている。

  • CVE-2022-25271: Drupal CoreのフォームAPIにおける不適切な入力検証の脆弱性
  • CVE-2022-25270: Quick Editモジュールにおいてエンティティアクセスが適切にチェックされない脆弱性

それぞれの詳細は次のセキュリティアドバイザリにまとめられている。

  • CVE-2022-25271に関するセキュリティアドバイザリ

    CVE-2022-25271に関するセキュリティアドバイザリ

  • CVE-2022-25270に関するセキュリティアドバイザリ

    CVE-2022-25270に関するセキュリティアドバイザリ

CVE-2022-25271についてはDrupal 9.3、9.2、および7が、CVE-2022-25270についてはDrupal 9.3、9.2が影響を受ける。それぞれ、次のバージョンにアップデートすることで影響を回避することができる。

  • Drupal 9.3.6
  • Drupal 9.2.13
  • Drupal 7.88

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティアドバイザリを確認した上で必要なアップデートを適用することを推奨している。