MEDIUMCVE-2022-25270CVSS 6.5

Drupal coreにおける不適切な認証

プラットフォーム

drupal

コンポーネント

drupal

修正版

9.3.6

9.2.13

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

Drupal CoreのQuick Editモジュールに、権限昇格の脆弱性が存在します。この脆弱性は、認証されたユーザーが本来アクセスできないコンテンツを閲覧できる可能性を生み出します。影響を受けるバージョンはDrupal 9.3.5以前です。Drupal 9.3.6へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はQuick Edit機能を利用して、本来アクセス権限がないコンテンツを閲覧できるようになります。これにより、機密情報への不正アクセスや、データの改ざん、さらにはDrupalサイト全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、Quick Edit機能が有効になっているサイトや、アクセス制御が緩いサイトでは、攻撃のリスクが高まります。この脆弱性は、Drupal Standardプロファイルに同梱されているQuick Editモジュールがインストールされている場合にのみ影響を受けます。

悪用の状況

この脆弱性は、2022年2月18日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、Drupalの脆弱性は過去に悪用事例が見られるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Sites utilizing the Drupal Standard profile with the Quick Edit module enabled are specifically at risk. Organizations relying on Drupal for content management and with strict access control requirements should prioritize patching. Shared hosting environments using Drupal Standard are also particularly vulnerable due to the pre-installed Quick Edit module.

検出手順翻訳中…

• drupal: Check Drupal core version using drush --version. If ≤9.3.5, the system is potentially vulnerable. • drupal: Verify Quick Edit module is enabled using drush en quickedit. Disable if not required. • drupal: Review user roles and permissions to ensure only authorized users have 'access in-place editing'. • generic web: Monitor Drupal logs (typically in /var/log/apache2/error.log or similar) for unusual access patterns or errors related to Quick Edit.

攻撃タイムライン

2022-02-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard33% まだ脆弱

EPSS

0.25% (49% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

9.3.0 – 9.3.59.3.6

9.2.0 – 9.2.129.2.13

8.0.09.2.13

9.3.09.2.13

タイムライン

予約済み2022-02-16
公開日2022-02-18
更新日2025-12-10
EPSS 更新日2026-04-02

公開後-1日でパッチ適用

緩和策と回避策

Drupal 9.3.6へのアップデートが推奨されます。もしアップデートが困難な場合は、Quick Editモジュールの使用を一時的に停止するか、アクセス制御を強化するなどの対策を講じてください。WAF（Web Application Firewall）を導入し、不正なアクセスを検知・遮断することも有効です。Drupalのアクセス制御設定を見直し、不要な権限を削除することも重要です。アップデート後、Quick Edit機能が正常に動作することを確認してください。

修正方法

Drupal Coreをバージョン9.3.6または9.2.13、またはそれ以降のバージョンにアップデートしてください。これにより、Quick Editモジュールの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-25270 — 権限昇格 in Drupal Coreとは何ですか？

CVE-2022-25270は、Drupal CoreのQuick Editモジュールにおける権限昇格の脆弱性です。認証された攻撃者が本来アクセスできないコンテンツを閲覧できる可能性があります。

CVE-2022-25270 in Drupal Coreに影響はありますか？

Drupal 9.3.5以前のバージョンを使用しているサイトは影響を受けます。Drupal StandardプロファイルにQuick Editモジュールが同梱されているため、特に注意が必要です。

CVE-2022-25270 in Drupal Coreを修正するにはどうすればよいですか？

Drupal 9.3.6へのアップデートが推奨されます。アップデートが困難な場合は、Quick Editモジュールの使用を一時的に停止するか、アクセス制御を強化してください。

CVE-2022-25270は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、Drupalの脆弱性は過去に悪用事例が見られるため、注意が必要です。

CVE-2022-25270に関するDrupalの公式アドバイザリはどこで入手できますか？

Drupalの公式アドバイザリは、[https://www.drupal.org/security/advisories/2974778](https://www.drupal.org/security/advisories/2974778)で確認できます。