Drupal、深刻な脆弱性に関するセキュリティアドバイザリ情報(SA-CORE-2018-002) を公開
Drupalはリモートでコードが実行される深刻な脆弱性(CVE-2019-6340)に対処するためにセキュリティアドバイザリを公開しました。
背景
2月20日、Drupalはソフトウェアのリモートコード実行の脆弱性(CVE-2019-6340)に関するセキュリティアドバイザリ(SA-CORE-2019-003)を公開しました。Drupalは、この脆弱性のセキュリティ上の危険度が「非常に深刻」と定義しています。
分析
セキュリティアドバイザリによると、フォーム以外のソースにリンクされた特定のフィールドタイプではデータが無害化されていないため、任意のPHPコードの実行可能になります。この脆弱性の影響を受けるのは、以下の特定のサイト構成です。
影響を受ける構成
- Drupal 8: JSON:APIまたはRESTful Web Servicesを使用するサイト (PATCHまたはPOSTリクエストが有効になっている場合)(2月22日更新) 、RESTful Webサービス、ハイパーテキストアプリケーション言語(HAL)、およびHTTP基本認証モジュールを使用するサイト
- Drupal 7: RESTful Web Servicesまたはサービスモジュールを使用するサイト
この脆弱性はDrupalセキュリティチームによって発見されたものであり、現時点では、この脆弱性は実世界では悪用されていないようです。
2月22日更新: このセキュリティアドバイザリに関連して、新しい分析が発表されました。 この分析は、PATCHおよびPOSTリクエストが有効になっている構成が影響を受けるという指摘は完全に正確ではなく、認証なしでGETリクエストを使用してリモートでコードが実行される可能性があることを示唆しています。Tenableは独自にこの分析が正しいことを確認しました。この新しい情報を反映するように「影響を受ける構成」と「解決策」のセクションが更新されました。
また、上記の新しい分析に基づき、このエクスプロイトが可能なモジュールはRESTful Webサービスモジュールだけではないことも確認されました。また、ハイパーテキストアプリケーション言語(HAL)とHTTP基本認証モジュールも有効にする必要があります。
HALまたはHTTP基本認証を有効にせずにPOCエクスプロイトを試みるとエラーになります(Drupal 8.6.9で試験済み)。
エクスプロイトを引き起こすのに必要な有効なモジュール (注:RESTful Webサービスを有効にすると、シリアル化が有効になります)。
ソリューション
この脆弱性を緩和するためには、パッチが適用されるまですべてのWebサービスモジュールを無効にするか、サーバー側の特定のリクエストタイプ(PUT / PATCH / POST)を無効にすることをDrupalは推薦しています。
2月22日更新: 新しい分析では、脆弱な他の構成が明らかになっているため、サーバー側のPUT / PATCH / POSTリクエストタイプを無効にするだけでは緩和策として十分ではありません。そのため、Tenableはできるだけ早くDrupalのパッチを当てたバージョンにアップグレードすることを強く推奨します。
Drupalはこの脆弱性に対処するためにDrupal 8.6.10とDrupal 8.5.11をリリースしました。Drupal 7 coreのアップデートはありません。Drupal 7系やDrupal 8系にはセキュリティ更新プログラムがリリースされています。更新されたモジュールには、以下が含まれています。
- RESTful Web Services
- JSON:API
- Link
- Metatag
- Video
- Paragraphs
- Translation Management Tool
- Font Awesome Icons
影響を受けているシステムの特定
この脆弱性を特定するための Nessus プラグイン一覧は、リリースされる度にこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。
関連記事
Forrester Names Tenable a Leader in the Q3 2025 Unified Vulnerability Management Solutions Wave™ Report
“Tenable continues to extend its established vulnerability management offerings into exposure management with its Tenable One platform,” according to the report....
CVE-2025-53770: Frequently Asked Questions About Zero-Day SharePoint Vulnerability Exploitation
Successful exploitation of CVE-2025-53770 could expose MachineKey configuration details from a vulnerable SharePoint Server, ultimately enabling unauthenticated remote code execution....
CVE-2025-54309: CrushFTP Zero-Day Vulnerability Exploited In The Wild
A critical zero-day flaw in CrushFTP that can grant attackers administrator access was discovered on July 18 and is under active exploitation....
- Vulnerability Management