Drupalプロジェクトは4月25日(米国時間)、「Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004|Drupal.org」において、Drupalに極めて重大な脆弱性が存在すると伝えた。Drupal 8.x系とDrupal 7.x系の複数のサブシステムにリモートコード実行の脆弱性が存在し、この脆弱性を悪用されると、遠隔から攻撃者によってサーバが侵害される可能性があるという。

Drupalプロジェクトはそれぞれのバージョンのユーザーに対して、次のアップグレードを推奨している。

  • Drupal 8.5.x系ユーザはDrupal 8.5.3へアップグレード
  • Drupal 8.4.x系ユーザはDrupal 8.4.8へアップグレード
  • Drupal 7.x系ユーザはDrupal 7.59へアップグレード
  • Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

    Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

Drupal 8.4.x系はすでにサポートが終了しており、通常はセキュリティアップデートは提供されていない。しかし、今回の脆弱性に関しては迅速に対処できるよう、アップグレードが提供されている。

DrupalプロジェクトはDrupal 8.4.x系を利用しているユーザーに対してDrupal 8.4.8へアップグレードするとともに、その後にDrupal 8.5.3またはこれ以降のバージョンに可能な限り迅速にアップグレードすることを推奨している。