HIGHCVE-2026-4933CVSS 7.5

Drupal Unpublished Node Permissionsにおける不適切な認証 (Incorrect Authorization) の脆弱性により、強制閲覧が可能になる。この問題は、Unpublished Node Permissions: 0.0.0より前のバージョンに影響する。1.7.0以前。

プラットフォーム

drupal

コンポーネント

drupal

修正版

1.7.0

8.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Drupal Unpublished Node Permissionsに不正な認証の脆弱性（Forceful Browsing）が存在します。この脆弱性により、攻撃者は未公開ノードにアクセスできるようになります。影響を受けるバージョンは8.x-1.7以前です。

影響と攻撃シナリオ

Drupal の 'Unpublished Node Permissions' モジュールにおける CVE-2026-4933 は、'不正な認証' の脆弱性を引き起こし、'強制閲覧' (Forceful Browsing) を可能にします。これは、適切な認証なしに、攻撃者が未公開ノード（ページ、記事など）にアクセスできることを意味します。これらのノードは、編集者や管理者など、特定のユーザーのみが作成またはレビュープロセス中に閲覧することを想定しています。認証の失敗により、これらの制限を回避し、不正なユーザーに機密情報や開発中の情報を公開する可能性があります。CVSS スコアが 7.5 であることは、緊急の対応が必要な高いリスクを示しています。この脆弱性は、1.7.0 より前のモジュールバージョンに影響します。影響は、未公開ノードの内容と、それらが保持する情報の機密性によって異なる場合があります。このリスクを軽減するために、モジュールを更新することが不可欠です。

悪用の状況

この脆弱性の悪用には、技術的な知識と Drupal サイトへのアクセスが必要です。攻撃者は、URL の操作や HTTP リクエスト技術を使用して、未公開ノードにアクセスしようとする可能性があります。悪用の複雑さは、Drupal サイトの構成と実装されているセキュリティ対策によって異なります。攻撃者は、未公開ノードの URL 構造を特定し、認証の欠陥を利用して、それらに直接アクセスしようとする必要があります。これらのノードへのアクセスに必要な適切な認証がないことが、悪用を可能にする主な要因です。この脆弱性は、未公開ノードに機密情報や不完全な情報が含まれている可能性がある開発またはテスト環境で特に懸念されます。

リスク対象者翻訳中…

Websites using Drupal 8.x with the Unpublished Node Permissions module installed and configured with overly permissive access controls are at significant risk. Sites with a large volume of unpublished content, or those handling sensitive information in drafts, are particularly vulnerable. Shared hosting environments where users have limited control over module versions are also at increased risk.

検出手順翻訳中…

• drupal:

find /var/www/html/modules -name 'unpublish_node_permissions' -print

• drupal:

curl -I http://your-drupal-site.com/node/unpublished-node | grep 'HTTP/1.1 403' # Check for 403 Forbidden on unpublished nodes with proper access control

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

NextGuard10–15% まだ脆弱

EPSS

0.04% (14% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーDrupal

影響範囲修正版

0.0.0 – 1.7.01.7.0

8.x-1.78.0.1

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-03-26
公開日2026-03-26
更新日2026-04-01
EPSS 更新日2026-04-03

緩和策と回避策

CVE-2026-4933 の主な軽減策は、'Unpublished Node Permissions' モジュールをバージョン 1.7.0 以降に更新することです。この更新により、'強制閲覧' を可能にする認証の欠陥が修正されます。更新する前に、データベースとサイトファイルを含む Drupal サイトの完全なバックアップを強く推奨します。更新後、サイトの機能が損なわれないこと、および脆弱性が効果的に解決されたことを確認するために、徹底的なテストが不可欠です。さらに、Drupal 内のユーザー権限ポリシーを見直し、強化して、承認されたユーザーのみが未公開ノードにアクセスできるようにする必要があります。サーバーログを定期的に監視して、疑わしいアクティビティがないか確認することも、良いセキュリティプラクティスです。

修正方法翻訳中…

Actualice el módulo Unpublished Node Permissions a la versión 1.7.0 o superior. Esta versión corrige la vulnerabilidad de autorización incorrecta que permite la navegación forzada de contenido no publicado.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4933 とは何ですか？（drupal）

これらは Drupal で作成されたコンテンツ項目（ページ、記事など）ですが、一般公開されていません。公開前にレビューおよび編集するために使用されます。

drupal の CVE-2026-4933 による影響を受けていますか？

'Unpublished Node Permissions' モジュールのバージョンを確認してください。1.7.0 より古い場合は、サイトが脆弱です。

drupal の CVE-2026-4933 を修正するにはどうすればよいですか？

一時的な措置として、承認されたユーザーの限られたグループに未公開ノードへのアクセスを制限することを検討してください。

CVE-2026-4933 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありませんが、手動によるセキュリティ監査をお勧めします。

CVE-2026-4933 に関する drupal の公式アドバイザリはどこで確認できますか？

これは高いリスクを示しており、脆弱性は深刻であり、迅速に対応する必要があります。