MEDIUMCVE-2025-31674

Drupal Coreにおける動的に決定されるオブジェクト属性の不適切な制御による変更の脆弱性

プラットフォーム

drupal

コンポーネント

drupal

修正版

10.3.13

10.4.3

11.0.12

11.1.3

10.3.13

AI Confidence: highNVDEPSS 1.0%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2025-31674 は、Drupal コアにおいて、オブジェクト属性の動的決定の制御が不適切であるために発生するオブジェクトインジェクションの脆弱性です。この脆弱性を悪用されると、攻撃者は不正なオブジェクト属性を操作し、システムへの影響を及ぼす可能性があります。影響を受けるバージョンは Drupal 8.0.0 から 10.3.12、10.4.0 から 10.4.2、11.0.0 から 11.0.11、11.1.0 から 11.1.2 です。10.3.13 以降のバージョンで修正されています。

影響と攻撃シナリオ

CVE-2025-31674 は、Drupal core のオブジェクトインジェクションの脆弱性であり、攻撃者が動的に決定されたオブジェクト属性を制御不能な方法で変更することを可能にします。これにより、リモートコード実行、権限昇格、サービス拒否が発生する可能性があります。脆弱性は、Drupal core のバージョン 8.0.0 から 10.3.12、10.4.0 から 10.4.2、11.0.0 から 11.0.11、および 11.1.0 から 11.1.2 に影響します。この脆弱性の深刻度は高く、攻撃者は多くの場合認証なしで悪用できる可能性があります。オブジェクトインジェクションは、セキュリティ侵害を防ぐために、直ちに対応が必要な重要な脆弱性です。

悪用の状況

この脆弱性は、動的に決定されたオブジェクト属性の操作を通じて悪用されます。攻撃者はオブジェクトの属性に悪意のあるコードを注入し、Drupal がそのコードを実行する可能性があります。適切な入力検証がないため、攻撃者はこれらの属性の値を制御できます。悪用のコンテキストは、Drupal サイトの特定の構成とインストールされているモジュールによって異なります。この脆弱性を効果的に悪用するには、Drupal の内部動作に関する深い理解が必要です。一部の場合、必要な認証がないため、悪用が容易になり、脆弱な Web サイトのリスクが高まります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

NextGuard83% まだ脆弱

EPSS

1.04% (77% パーセンタイル)

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

8.0.0 – 10.3.1310.3.13

10.4.0 – 10.4.310.4.3

11.0.0 – 11.0.1211.0.12

11.1.0 – 11.1.311.1.3

8.0.010.3.13

10.4.010.3.13

11.0.010.3.13

11.1.010.3.13

弱点分類 (CWE)

CWE-915

タイムライン

予約済み2025-03-31
公開日2025-04-01
更新日2025-12-10
EPSS 更新日2026-03-23

公開後-40日でパッチ適用

緩和策と回避策

CVE-2025-31674 の主な軽減策は、Drupal core をそれぞれバージョン 10.3.13、10.4.3、11.0.12、または 11.1.3 に更新することです。これらのバージョンには、脆弱性を修正するために必要なパッチが含まれています。さらに、インストールされているサードパーティ製モジュールを確認して、最新の状態に保ち、新しい脆弱性を導入していないことを確認することをお勧めします。入力検証やデータサニタイズなどの適切なセキュリティプラクティスを実装することで、悪用のリスクを軽減することもできます。サーバーログを監視して疑わしいアクティビティを検出し、対応することが重要です。Drupal サイトの定期的なセキュリティ監査は、悪用される前に脆弱性を特定し、修正するのに役立ちます。

修正方法翻訳中…

Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.3.13 o superior, 10.4.3 o superior, 11.0.12 o superior, o 11.1.3 o superior, dependiendo de la rama de Drupal que esté utilizando. Esto solucionará la vulnerabilidad de inyección de objetos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-31674 とは何ですか？（Drupal Core）

オブジェクトインジェクションは、攻撃者がプログラム内のオブジェクトの属性を操作することを可能にする脆弱性であり、悪意のあるコードの実行につながる可能性があります。

Drupal Core の CVE-2025-31674 による影響を受けていますか？

Drupal サイトが脆弱なバージョンを使用している場合、攻撃者はサーバー上で悪意のあるコードを実行し、サイトとデータのセキュリティを損なう可能性があります。

Drupal Core の CVE-2025-31674 を修正するにはどうすればよいですか？

すぐに更新できない場合は、サイトの特定の領域へのアクセスを制限したり、サーバーログを監視したりするなど、一時的な軽減策を実装することを検討してください。

CVE-2025-31674 は積極的に悪用されていますか？

CVE-2025-31674 を検出できる脆弱性スキャナがあります。また、サーバーログを監視して疑わしいアクティビティを確認することもできます。

CVE-2025-31674 に関する Drupal Core の公式アドバイザリはどこで確認できますか？

National Vulnerability Database (NVD) の Web サイトと Drupal のドキュメントで、この脆弱性に関する詳細情報を入手できます。