United States Computer Emergency Readiness Team (US-CERT)は6月18日(米国時間)、「Drupal Releases Security Updates|CISA」において、Drupalに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

Drupal core - Critical - Cross Site Request Forgery - SA-CORE-2020-004 | Drupal.org

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005 | Drupal.org

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Drupal 7.x

Drupal 8.8.x

Drupal 8.9.x

Drupal 9.0.x

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Drupal 7.72

Drupal 8.8.8

Drupal 8.9.1

Drupal 9.0.1

Drupal core - Critical - Cross Site Request Forgery - SA-CORE-2020-004 | Drupal.org

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005 | Drupal.org

脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することが推奨される。