プラットフォーム
drupal
コンポーネント
drupal
修正版
1.10.1
1.10.1
CVE-2026-24478は、Drupal Coreのバージョン1.10.0以前に存在するリモートコード実行(RCE)脆弱性です。この脆弱性は、DrupalWiki連携機能において、悪意のある管理者が任意のファイルをサーバーに書き込めることを可能にし、システムへの深刻な影響をもたらす可能性があります。影響を受けるバージョンは1.10.0以前であり、バージョン1.10.0へのアップデートでこの問題は修正されています。
この脆弱性を悪用されると、攻撃者はDrupalWiki連携機能の設定を悪用し、Drupalインスタンスのファイルシステムに任意のファイルを書き込むことができます。これにより、攻撃者は重要な設定ファイルを上書きしたり、悪意のあるスクリプトを配置したりすることが可能になり、最終的にはリモートコード実行(RCE)を達成できます。攻撃者は、ウェブサーバーの制御を奪取し、機密情報を窃取したり、システムを破壊したりする可能性があります。この脆弱性は、Drupalサイトの完全な侵害につながる可能性があり、その影響は甚大です。
この脆弱性は2026年1月27日に公開されました。現時点では、公開されているPoCは確認されていませんが、Path Traversalの脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVへの登録状況は不明ですが、RCE脆弱性であるため、潜在的なリスクを考慮し、優先的に対応する必要があります。
Organizations using Drupal Core with the AnythingLLM application installed, particularly those with administrative users who may be susceptible to social engineering attacks or who may inadvertently configure malicious DrupalWiki URLs, are at risk. Shared hosting environments where multiple Drupal instances share the same server resources are also at increased risk.
• drupal: Check the installed version of the AnythingLLM module using drush pm:core-list or drush pm:modules.
• generic web: Monitor Drupal error logs for attempts to access files outside of the intended DrupalWiki directory.
• generic web: Use a WAF to block requests containing path traversal sequences (e.g., ../).
• linux / server: Monitor file system activity for unexpected file creations or modifications within the Drupal installation directory, particularly in areas related to configuration files. Use auditd to track file access attempts.
disclosure
エクスプロイト状況
EPSS
0.22% (44% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最善の対応は、Drupal Coreをバージョン1.10.0以降にアップデートすることです。アップデートがすぐに利用できない場合、DrupalWiki連携機能を無効にするか、信頼できるソースからのURLのみを許可するように設定を制限することでリスクを軽減できます。また、ウェブアプリケーションファイアウォール(WAF)を使用して、Path Traversal攻撃を検出し、ブロックすることも有効です。Drupalのセキュリティ設定を定期的に見直し、最小限の権限の原則を適用することも重要です。
Actualice AnythingLLM a la versión 1.10.0 o posterior. Esta versión contiene la corrección para la vulnerabilidad de Path Traversal. Se recomienda realizar la actualización lo antes posible para evitar posibles ataques.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24478は、Drupal Coreのバージョン1.10.0以前におけるリモートコード実行(RCE)脆弱性です。DrupalWiki連携機能の不備により、攻撃者が任意のファイルをサーバーに書き込める可能性があります。
はい、Drupal Coreのバージョン1.10.0以前を使用している場合は影響を受けます。この脆弱性を悪用されると、ウェブサーバーの制御を奪取される可能性があります。
Drupal Coreをバージョン1.10.0以降にアップデートすることで修正できます。アップデートがすぐに利用できない場合は、DrupalWiki連携機能を無効にするか、設定を制限してください。
現時点では、公開されているPoCは確認されていませんが、RCE脆弱性であるため、悪用される可能性は高いと考えられます。
Drupalのセキュリティアドバイザリは、[https://www.drupal.org/security](https://www.drupal.org/security)で確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。