緊急 Critical 悪用確認済み（KEV） CVE-2026-9082

Drupal CoreにSQLインジェクション（CVE-2026-9082）— 権限昇格と遠隔コード実行のおそれ

Drupal Core ・KEV追加 2026年5月22日・連邦是正期限 2026-05-27

広く使われるオープンソースCMS「Drupal」のコアに、データベース抽象化APIを介したSQLインジェクションの脆弱性。細工した要求で権限昇格や遠隔コード実行(RCE)につながりうる。CISAは悪用確認済み(KEV)として掲載（CVSS 9.8 Critical）。

脆弱性の基本情報

CVE-2026-9082は、Drupal Core（多くの公共・企業サイトで使われるオープンソースCMS「Drupal」の中核）に存在するSQLインジェクション（CWE-89）の脆弱性だ。CISAのKEVカタログに2026年5月22日付で追加された。

NVDの説明によれば、Drupalのデータベース抽象化API（DBへのアクセスを共通化する仕組み）に細工した要求を送ることで、SQLインジェクションが成立し、権限昇格や遠隔コード実行(RCE)につながりうる。CMSのコア機能（多くのサイトが共通して使う基盤部分）の脆弱性であるため、影響範囲は広い。

Drupalは政府機関や大学、企業のWebサイトでも広く採用されており、外部に公開されたサイトでこの脆弱性が悪用されると、サイトの改ざんや乗っ取り、サーバ上でのコード実行につながる恐れがある。CMSは攻撃者にとって到達しやすい「インターネット公開資産」であり、KEV入りは迅速な更新を促すものだ。

【対応の要点】Drupal公式の指示に従ってコアを修正済みバージョンへ更新する。クラウド利用時はBOD 22-01に準拠し、緩和策がなければ使用中止も検討する。公開Webサイトは優先度が高い。連邦民生機関の是正期限は2026年5月27日。

広く使われるCMSコアのSQLi/RCEで、公開Webサイトの改ざん・乗っ取りリスクに直結。Drupalを運用する組織は、コアの即時更新と公開資産の棚卸し、Webサーバのログ点検が要点。

Drupalとは何ですか？

政府機関・大学・企業のWebサイトで広く使われるオープンソースのコンテンツ管理システム(CMS)です。

どのくらい危険ですか？

CVSS 9.8（Critical）で、権限昇格や遠隔コード実行につながりえます。CISAが悪用確認済みとして掲載しており、公開サイトでは優先度の高い脆弱性です。

何をすべきですか？

Drupal公式の指示に従い、コアを修正済みバージョンへ更新してください。インターネット公開しているサイトは特に優先的に対応します。

本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。

CISA KEV Catalog（悪用確認済み一覧）
NVD（CVE詳細・CVSS）
ベンダー／参考アドバイザリ
This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0（パブリックドメイン）です。

#Drupal#CMS#SQLインジェクション#RCE#Web