United States Computer Emergency Readiness Team (US-CERT)は5月21日(米国時間)、「Drupal Releases Security Updates|CISA」において、Drupalに脆弱性が存在すると伝えた。これらの脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるという。

脆弱性に関する情報は次のページにまとまっている。

Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2020-002 | Drupal.org

Drupal core - Moderately critical - Open Redirect - SA-CORE-2020-003 | Drupal.org

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Drupal 8.8.x

Drupal 8.7.x

Drupal 7.x

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Drupal 8.8.6

Drupal 8.7.14

Drupal 7.70

Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2020-002 | Drupal.org

Drupal core - Moderately critical - Open Redirect - SA-CORE-2020-003 | Drupal.org

セキュリティ脆弱性は深刻度がある程度緊急(Moderately Critical)に分類されており注意が必要。上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することが推奨される。