ANNAI
ANNAI株式会社
アドバイザリーID: SA-CORE-2025-003
プロジェクト: Drupal core
日付: 2025 年 2 月 19 日
セキュリティーリスク:中程度 リスクレベル14 (最大25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:Gadget Chain
影響を受けるバージョン:>= 8.0.0 < 10.3.13 || >= 10.4.0 < 10.4.3 || >= 11.0.0 < 11.0.12 || >= 11.1.0 < 11.1.3
詳細
Drupalコアには、潜在的なPHPオブジェクトインジェクションの脆弱性が含まれており、他のエクスプロイトと組み合わされると任意のファイルインクルージョンにつながる可能性があります。この攻撃をリモートコード実行にエスカレートする技術が存在します。ただし、直接的に悪用されることはありません。
この問題は、攻撃者が`unserialize()`に対して安全でない入力を渡すことを許可する別の脆弱性が存在する場合にのみ悪用可能であるためリスクは軽減されます。Drupalコアにはそのような既知のエクスプロイトはありません。
解決法
最新バージョンをインストールしてください:
・Drupal 10.3.xを使用している場合は、Drupal 10.3.13にアップデートしてください
・Drupal 10.4.xを使用している場合は、Drupal 10.4.3にアップデートしてください
・Drupal 11.0.xを使用している場合は、Drupal 11.0.12にアップデートしてください
・Drupal 11.1.xを使用している場合は、Drupal 11.1.3にアップデートしてください
Drupal 10の10.3より前のすべてのバージョンはサポート終了しており、セキュリティカバレッジを受けていません。(Drupal 8およびDrupal 9はどちらもサポート終了に達しています。)
本文は Drupal.org Security Advisory 「SA-CORE-2025-003」(CC BY-SA 2.0) を翻訳したものです。
原文: https://www.drupal.org/sa-core-2025-003
