Drupal core に PHPオブジェクトインジェクション (PHP Object Injection) の脆弱性が存在する可能性

CVE-2024-55638 は、Drupal Core 内の潜在的な PHP オブジェクトインジェクション脆弱性を特定しています。この脆弱性は単独では直接的に悪用できませんが、攻撃者が unserialize() 関数に安全でない入力を渡すことができる別の脆弱性と組み合わせることで、リモートコード実行 (RCE) につながる可能性があります。この脆弱性は CVSS スケールで 9.8 と評価されており、重大なリスクを示しています。Drupal Core には、このタイプのインジェクションを直接許可する既知の悪用がないことに注意することが重要です。バージョン 10.2.11 へのアップデートが主な軽減策です。

1. 予約済み2024-12-09
2. 公開日2024-12-10
3. 更新日2025-12-10
4. EPSS 更新日2026-04-02

CVE-2024-55638 の主な軽減策は、Drupal Core をバージョン 10.2.11 以降にアップデートすることです。このアップデートには、PHP オブジェクトインジェクションを防ぐのに役立つ追加のチェックが含まれています。Drupal Core にこの脆弱性を直接悪用できる既知の悪用がないにもかかわらず、コアを最新の状態に保つことは基本的なセキュリティプラクティスです。さらに、unserialize() に安全でないデータを注入できる可能性のあるサードパーティ製モジュールの潜在的な脆弱性を確認することをお勧めします。継続的な監視とパッチ適用は、Drupal サイトのセキュリティを維持するために不可欠です。