United States Computer Emergency Readiness Team (US-CERT)は5月9日(米国時間)、「Drupal Releases Security Update|US-CERT」においてと、Drupalに脆弱性が存在すると伝えた。
この脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。脆弱性に関する情報は次のページにまとまっている。
脆弱性を修正したバージョンが公開されており、次のバージョンで問題は解決したとされている。
- Drupal 8.7.1
- Drupal 8.6.16
- Drupal 7.67
Drupal 8.6系よりも前のバージョンはすでにサポートが終了されているため、セキュリティアップデートの提供は行われていない。Drupal 8.6系よりも前のバージョンを使用している場合は、セキュリティアップデートの提供されているブランチの最新版へ移行することが推奨される。
DrupalはCMSとしてシェア第3位のポジションにある。このところ脆弱性の発見が続いており、セキュリティアップデートに合わせて迅速に最新版へアップデートしていくことが望まれる。