MEDIUMCVE-2026-0748CVSS 4.3

Drupal 7 Internationalization (i18n) モジュールにおいて、i18n_node サブモジュールは、「コンテンツの翻訳」および「コンテンツ翻訳の管理」の権限を持つユーザーが、翻訳 UIとそのオートコンプリートウィジェットを介して未公開ノードを表示および添付できる。これにより、意図されたアクセス制御を回避し、未公開ノードのタイトルとIDを公開する。脆弱性はバージョン 7.x-1.0 から 7.x-1.35 までに影響する。

プラットフォーム

drupal

コンポーネント

drupal

修正版

7.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Drupal 7 Internationalization (i18n)モジュールのi18n_nodeサブモジュールに脆弱性が存在します。この脆弱性により、特定の権限を持つユーザーが、翻訳UIを通じて未公開ノードを閲覧し、そのタイトルとIDを特定できるようになります。影響を受けるバージョンは7.x-1.0から7.x-1.35です。

影響と攻撃シナリオ

Drupal 7の国際化 (i18n) モジュールにおけるCVE-2026-0748は、「コンテンツの翻訳」および「コンテンツ翻訳の管理」の権限を持つユーザーが、翻訳UIとそのオートコンプリートウィジェットを通じて未公開ノードを表示および添付することを可能にします。これにより、意図されたアクセス制御が回避され、未公開ノードのタイトルとIDが公開されます。この脆弱性は、特に公開前に機密または機密情報を取り扱うDrupal 7サイトにとって重大なリスクをもたらします。未公開コンテンツへのアクセスは、データ侵害につながり、サイトの整合性を損なう可能性があります。必要な権限が比較的一般的であるため、悪用の可能性が高まります。ノードIDの公開は、サイトの他のコンポーネントへのさらなる攻撃を容易にする可能性があります。直接的な修正がない (fix: none) ため、脆弱なサイトを保護するために、直ちに軽減策を講じる必要があります。

悪用の状況

この脆弱性は、i18nモジュールの翻訳UIを通じて悪用されます。必要な権限を持つ攻撃者は、オートコンプリートウィジェットを使用して、通常はアクセスできない未公開ノードを検索および表示できます。オートコンプリート機能は、これらのノードのタイトルとIDを公開し、攻撃者が機密コンテンツを識別できるようにします。悪用には高度な技術スキルは必要なく、幅広い攻撃者がアクセスできます。機密または機密コンテンツの翻訳にi18nモジュールを使用しているサイトのリスクは高まります。公式の修正がないため、Drupal 7サイトは効果的な軽減策が実装されるまで脆弱なままになります。この脆弱性を悪用するために必要なのは、「コンテンツの翻訳」および「コンテンツ翻訳の管理」の権限の組み合わせです。

リスク対象者翻訳中…

Websites running Drupal 7 with the Internationalization (i18n) module installed are at risk. Specifically, sites where users have been granted both "Translate content" and "Administer content translations" permissions are particularly vulnerable, even if those users are not typically involved in content creation.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "i18n_node_autocomplete" /var/www/drupal7/

• generic web:

curl -I http://your-drupal-site.com/admin/config/regional/i18n-node

• generic web: Check Drupal logs for unusual activity related to node translations or access attempts by users with 'Translate content' and 'Administer content translations' permissions.

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard10–15% まだ脆弱

EPSS

0.03% (7% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーDrupal

影響範囲修正版

7.x-1.0 – 7.x-1.357.0.1

弱点分類 (CWE)

CWE-284 CWE-276

タイムライン

予約済み2026-01-08
公開日2026-03-26
更新日2026-04-01
EPSS 更新日2026-04-03

未パッチ — 公開から59日経過

緩和策と回避策

公式の修正がない (fix: none) ため、CVE-2026-0748の軽減には慎重なアプローチが必要です。主な推奨事項は、「コンテンツの翻訳」および「コンテンツ翻訳の管理」の権限を必要最小限に厳密に制限することです。権限構成の誤りを特定して修正するために、包括的な権限監査を実施してください。サイトの機能に不可欠でない場合は、i18nモジュールを無効にすることを検討してください。翻訳インターフェースに関連する疑わしいアクティビティについて、サイトログを積極的に監視してください。最小権限の原則を適用することが、代替ソリューションが見つかるまで利用可能な最良の防御です。Drupalのより新しいバージョン (7.xを超える) へのアップグレードは、最も安全な長期的なソリューションですが、慎重な計画と実行が必要です。

修正方法翻訳中…

Actualice el módulo Internationalization (i18n) a una versión posterior a 7.x-1.35. Esto corregirá la vulnerabilidad de omisión de acceso en la interfaz de usuario de traducción i18n_node.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-0748 とは何ですか？（drupal）

これは、この脆弱性を修正するための公式のパッチまたはアップデートが現在利用できないことを意味します。

drupal の CVE-2026-0748 による影響を受けていますか？

Drupal 7は寿命の終わりに達しました。この脆弱性を軽減することは可能ですが、Drupalのより新しいバージョンにアップグレードするのが最善の選択肢です。

drupal の CVE-2026-0748 を修正するにはどうすればよいですか？

「コンテンツの翻訳」および「コンテンツ翻訳の管理」の権限が必要です。

CVE-2026-0748 は積極的に悪用されていますか？

Drupal 7でi18nモジュールを使用しており、言及された権限を持つユーザーがいる場合、サイトは脆弱である可能性があります。

CVE-2026-0748 に関する drupal の公式アドバイザリはどこで確認できますか？

「コンテンツの翻訳」および「コンテンツ翻訳の管理」の権限を必要最小限に制限し、サイトログを監視してください。