MEDIUMCVE-2025-13081CVSS 5.9

Drupal core にオブジェクトインジェクションの脆弱性

プラットフォーム

drupal

コンポーネント

drupal

修正版

10.4.9

10.5.6

11.1.9

11.2.8

10.4.9

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2025-13081 は、Drupal コアにおいて検出されたオブジェクトインジェクションの脆弱性です。この脆弱性を悪用されると、攻撃者は不正なオブジェクト属性を操作し、潜在的にシステムへの影響を及ぼす可能性があります。影響を受けるバージョンは、Drupal 8.0.0 以前の 10.4.9、10.5.0 以前の 10.5.6、11.0.0 以前の 11.1.9、および 11.2.0 以前の 11.2.8 です。Drupal 10.4.9 以降にアップデートすることで、この脆弱性は修正されています。

影響と攻撃シナリオ

Drupal core の CVE-2025-13081 は、動的に決定されるオブジェクト属性の制御が不十分なために、オブジェクトインジェクションのリスクをもたらします。これは、攻撃者が Drupal がオブジェクトを処理する方法を操作し、悪意のあるコードを実行したり、機密情報にアクセスしたりする可能性があることを意味します。この脆弱性は、Drupal core の 8.0.0 から 10.4.8、10.5.0 から 10.5.5、11.0.0 から 11.1.8、および 11.2.0 から 11.2.7 までのバージョンに影響します。CVSS による深刻度は 5.9 であり、中程度のリスクを示しています。攻撃が成功すると、Drupal ウェブサイトの機密性と完全性が損なわれる可能性があります。このリスクを軽減するために、セキュリティアップデートを適用することが重要です。

悪用の状況

この脆弱性の悪用には、攻撃者が Drupal が操作するオブジェクトの属性に影響を与える必要があるため、攻撃者がフォームや URL パラメータなどの入力データを操作できる必要があります。その後、攻撃者は Drupal ユーザーの権限を持つ Drupal ユーザーのコンテキストで実行される悪意のあるコードを挿入する可能性があります。影響の可能性は、影響を受けたユーザーの権限とウェブサイトの構成によって異なります。この脆弱性が実際に悪用されているかどうかは不明ですが、潜在的な攻撃を回避するために予防措置を講じることをお勧めします。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard83% まだ脆弱

EPSS

0.20% (42% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

8.0.0 – 10.4.910.4.9

10.5.0 – 10.5.610.5.6

11.0.0 – 11.1.911.1.9

11.2.0 – 11.2.811.2.8

8.0.010.4.9

弱点分類 (CWE)

CWE-915

タイムライン

予約済み2025-11-12
公開日2025-11-18
更新日2025-12-10
EPSS 更新日2026-03-23

公開後-5日でパッチ適用

緩和策と回避策

CVE-2025-13081 の解決策は、Drupal core をバージョン 10.4.9 以降、10.5.6 以降、11.1.9 以降、または 11.2.8 以降に更新することです。Drupal は、この脆弱性を直接解決するセキュリティアップデートをリリースしました。特に、Drupal ウェブサイトが機密情報を処理したり、高いトラフィック量を受け取ったりしている場合は、このアップデートをできるだけ早く適用することをお勧めします。さらに、寄与モジュールも最新の状態であることを確認してください。そうでない場合、間接的に影響を受ける可能性があります。アップデートを適用する前に、問題が発生した場合に復元できるように、ウェブサイトをバックアップしてください。

修正方法翻訳中…

Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.4.9, 10.5.6, 11.1.9 o 11.2.8, o una versión posterior. Esto solucionará la vulnerabilidad de inyección de objetos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-13081 とは何ですか？（Drupal Core）

オブジェクトインジェクションは、攻撃者がアプリケーションがオブジェクトを処理する方法を操作できる脆弱性であり、潜在的に悪意のあるコードを実行する可能性があります。

Drupal Core の CVE-2025-13081 による影響を受けていますか？

すぐにアップデートできない場合は、ウェブサイトの機密性の高い領域へのアクセスを制限したり、サーバーログを監視して疑わしいアクティビティを検出したりするなど、追加のセキュリティ対策を講じることを検討してください。

Drupal Core の CVE-2025-13081 を修正するにはどうすればよいですか？

この脆弱性は、言及されている Drupal core バージョンを使用しているウェブサイトに影響します。より新しいバージョンを使用している場合は、すでに保護されています。

CVE-2025-13081 は積極的に悪用されていますか？

この脆弱性についてさらに詳しい情報を Drupal のウェブサイトと NIST NVD などの脆弱性データベースで入手できます。

CVE-2025-13081 に関する Drupal Core の公式アドバイザリはどこで確認できますか？

ウェブサイトの管理ページにアクセスして、サイト情報セクションでバージョン情報を検索することで、使用している Drupal のバージョンを確認できます。