コンテンツマネジメントシステム(CMS)のDrupalに、SQLインジェクションの脆弱性が発見され、悪用が確認されています。
この脆弱性は、「Drupal Core」に見つかった脆弱性(CVE-2026-9082)であり、「PostgreSQL」を利用するサイトでSQLインジェクション攻撃が可能とされています。SQLインジェクション攻撃を受けると、情報漏洩の危険性があるなど、Webサイトに深刻な影響を及ぼす恐れがあります。
Drupalのセキュリティチームは、公式のSA-CORE-2026-004にて、重要度を最も高いHighly Criticalとし、脆弱性情報の公開に先立ち、事前予告を行い、早急な対策を促していました。
下記の情報などを参考に早急な対策を実施することが推奨されます。
参考情報:
https://www.drupal.org/sa-core-2026-004
なお、「SiteGuardシリーズ」では、既存のシグネチャによる検出を確認しているほか、複数の攻撃パターンの存在を確認したため、2026年5月27日にリリース済みの最新のトラステッド・シグネチャによる対策の強化を行いました。
追加情報が公開された場合は、随時対応状況を更新いたします。
※クラウド型WAF「SiteGuard Cloud Edition」をご利用のお客様は、マネージドサービスにより最新のシグネチャが適用されています。
※ホスト型WAF「SiteGuard Server Edition」、ゲートウェイ型WAF「SiteGuard Proxy Edition」をご利用のお客様は、ウェブ管理画面の更新設定にしたがい、最新のシグネチャが適用されます。
ソフトウェアやフレームワークに深刻な脆弱性が発見された場合の緊急的な対策の一つとして、WAF(ウェブアプリケーションファイアウォール)は大きな効果を発揮します。また、日々のウェブサイトの運用、脆弱性対策におけるセーフティネットとしての役割を担います。
国産WAF「SiteGuardシリーズ」は、業種・業態を問わず数多くの導入実績をもち、レンタルサーバー事業者でのWAF機能として標準実装されている実績から、保護対象サイト数は150万を超えています。
ワンランク上のWebサイトのセキュリティ対策に、ぜひ「SiteGuardシリーズ」をご活用ください。
SiteGuardシリーズにご興味のある方はこちら