Drupal セキュリティチームは 5 月 20 日、データベース抽象化 API に存在する SQL injection 脆弱性 SA-CORE-2026-004 (CVE-2026-9082) を「Highly Critical」(20/25) として公開しました。PostgreSQL をバックエンドにしているサイトでは未認証ユーザーが任意の SQL を実行でき、情報漏えい・権限昇格・条件次第で RCE にもつながる可能性があるとしています。事前 PSA で 5 月 20 日 17:00–21:00 UTC のリリース枠が予告されていた案件です。
主なポイント
- 影響を受けるのは PostgreSQL を利用する Drupal サイト。MySQL / MariaDB バックエンドのみであれば直接の影響は限定的
- 修正版は Drupal 11.3.10 / 11.2.12 / 11.1.10 / 10.6.9 / 10.5.10。レガシー 8.9・9.5 にもパッチが配布される
- 同時に Symfony / Twig のセキュリティアップデートも同梱
- アクセス複雑度・認証ともに「None」で悪用ハードルが極めて低く、自動化攻撃が短期間で出回るリスクが高い
- 事前 PSA-2026-05-18 で「数時間〜数日でエクスプロイトが出る可能性」と異例の注意喚起が出されており、運用者は即時アップデート対応が推奨される
出典: Drupal core - Highly critical - SQL injection - SA-CORE-2026-004