Drupal 10.5.x < 10.5.12/10.6.x < 10.6.11/11.2.x < 11.2.14/11.3.x < 11.3.12 複数の脆弱性 (drupal-2026-06-17)

critical Nessus プラグイン ID 321519

概要

リモートのウェブサーバーで実行されている PHP アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは、10.5.12 より前の 10.5.x、10.6.11 より前の 10.6.x、11.2.14 より前の 11.2.x、または 11.3.12 より前の 11.3.x です。したがって、複数の脆弱性の影響を受けます。

- Drupal コアには、安全でない逆シリアル化の脆弱性がサイトに存在する際に悪用される可能性のある一連のメソッドが含まれています。このいわゆるガジェットチェーンは直接的な脅威を提示しませんが、アプリケーションが別の脆弱性のために信頼できないデータを逆シリアル化した場合に、リモートコード実行または SQL インジェクションを達成するために使用できるベクトルです。この問題は、直接悪用される可能性はありません。この問題は、悪用可能であるためには、攻撃者が安全でない入力を unserialize() に渡すことを可能にする個別の脆弱性が存在する必要があるという事実により緩和されます。(CVE-2026-55804)

- Drupal コアには、サイトが予期しない状態にあるときに、Drupalの再構築(キャッシュの消去およびコンテナの再構築)に使用できる rebuild.php フロントコントローラーが付属しています。このスクリプトは、信頼できるホストパターンのリストに対してホストヘッダーを正しくチェックしません。これにより、キャッシュポイズニングまたは攻撃者が制御するドメインへのリダイレクトが引き起こされる可能性があります。(CVE-2026-55806)

- JSON:APIモジュールとRESTモジュールを使用すると、画像ファイルを画像フィールドにアップロードできます。検証ルールは、アップロードされたファイルのファイル拡張子をチェックしますが、ファイルの MIME タイプはチェックしません。これにより、悪意のあるユーザーが画像ではないファイルをアップロードする可能性があります。特定の Web サーバー構成は、アップロードされたファイルに画像タイプではなく実際の MIME タイプで供給する場合があります。これにより、クロスサイトスクリプティング(XSS)やその他の予期しない動作が発生する可能性があります。(CVE-2026-55808)

- メディアモジュールには、oEmbed のサポートが付属しています。oEmbed 仕様には、providers.json および URL 検出の 2 つの検出メカニズムが含まれています。この URL 発見コードを利用して、Drupal を騙して、サーバー側のリクエストを任意の URL に行わせることが可能です。(CVE-2026-55807)

- SA-CORE-2019-003 シリアル化されたデータを保存するフィールドの保護を追加し、Web サービス経由の直接書き込みを禁止します。上記の修正は、JSON:API に対するすべての潜在的な攻撃ベクトルをカバーしていませんでした。適切なJSON:API書き込み権限を持つ攻撃者が、特定のまれな状況で悪意のあるペイロードを挿入し、PHPオブジェクトインジェクションを引き起こす可能性があります。この脆弱性は、悪用可能にするには、以下のようになります。 サイトは、シリアル化されたプロパティを格納するエンティティ参照フィールド型を使用する必要があります。攻撃者には、JSON:API を介してエンティティに書き込むアクセス許可が必要です。Drupal コアに同梱されているフィールドタイプはこれらの基準を満たしておらず、非常に珍しいと思われる貢献フィールドタイプやユーザー作成フィールドタイプはありません。この更新では、そのようなフィールドが全て保護されます。コントリビュートされたモジュールでは、変更は必要ありません。
JSON:APIはデフォルトで読み取り専用であるため、サイトが書き込みアクセスを有効にしている場合にのみ影響を受けます(管理者構成、または書き込みアクセスを有効にする提供されたモジュールまたはカスタムモジュールのインストールのいずれかを通じて)。Drupal Steward 保護:この問題は Drupal Steward によって保護されています。この場合、WAFルールは一般的/明らかな脆弱性パスに対する緩和を提供すると考えていますが、すべてのケースをカバーするわけではなく、すべてのホスティングプロバイダーで機能するわけではありません。さらに、本日リリースされたいくつかの他のコアセキュリティアドバイザリは、Drupal Steward によって緩和されていません。したがって、推奨のアクションは、このリリースから 24 時間以内に実際の Drupal の更新を計画することです。(CVE-2026-55803)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Drupal バージョン 10.5.12/10.6.11/11.2.14/11.3.12 以降にアップグレードしてください。

参考資料

https://www.drupal.org/project/drupal/releases/10.5.12

https://www.drupal.org/project/drupal/releases/10.6.11

https://www.drupal.org/project/drupal/releases/11.2.14

https://www.drupal.org/project/drupal/releases/11.3.12

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/psa-2023-11-01

https://www.drupal.org/sa-core-2019-003

https://www.drupal.org/sa-core-2026-005

https://www.drupal.org/sa-core-2026-006

https://www.drupal.org/sa-core-2026-007

https://www.drupal.org/sa-core-2026-008

https://www.drupal.org/sa-core-2026-009

https://www.drupal.org/steward

http://www.nessus.org/u?32ad7152

プラグインの詳細

深刻度: Critical

ID: 321519

ファイル名: drupal_11_3_12.nasl

バージョン: 1.2

タイプ: Remote

ファミリー: CGI abuses

公開日: 2026/6/18

更新日: 2026/6/26

設定: パラノイドモードの有効化, 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 57.95

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2026-55804

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:drupal:drupal

必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/6/17

脆弱性公開日: 2026/6/17

参照情報

CVE: CVE-2026-55803, CVE-2026-55804, CVE-2026-55806, CVE-2026-55807, CVE-2026-55808

IAVA: 2026-A-0600