Trusted Design

解説:

1. 脆弱性の概要

Drupal Core に存在する未認証 SQL インジェクション（CWE‑89）脆弱性。 Drupal の Database Abstraction API（特に PostgreSQL ドライバ）において、ユーザー入力（JSON:API / Search API のフィルタキー）が SQL 構文としてそのまま組み込まれるため、未認証の攻撃者が任意の SQL を実行可能となる。

• OpenCVE は「Improper Neutralization of Special Elements used in an SQL Command」と明記
• PostgreSQL ドライバ特有の構文（::、||、ドルクォートなど）が検証をすり抜ける

1.1 影響

• 未認証で SQL インジェクションが可能
• データベースの完全な読み取り・書き込み・削除が可能
• PostgreSQL 利用環境では RCE に発展する可能性あり（CVEReports 分析）
• CISA Known Exploited Vulnerabilities（KEV）に登録済み（悪用確認済み）

1.2 深刻度

• CVSS v3.1：9.8（Critical）（Drupal CNA）
  

  • Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

• EPSS：12.6%（Moderate）

2. 対象となる環境

2.1 影響を受ける Drupal Core バージョン

OpenCVE / NVD 共通の影響範囲：

• 8.9.0 ～ 10.4.9
• 10.5.0 ～ 10.5.9
• 10.6.0 ～ 10.6.8
• 11.0.0 ～ 11.1.9
• 11.2.0 ～ 11.2.11
• 11.3.0 ～ 11.3.9
  

※ PostgreSQL ドライバ使用時のみ影響（MySQL/MariaDB/SQLite は影響なし）

2.2 影響を受ける設定

• Drupal が PostgreSQL をバックエンド DB として使用している
• JSON:API / Search API / Entity Query を利用する環境
• 未認証ユーザーがフィルタパラメータを送信可能なエンドポイントが公開されている

3. 影響を受けた時の兆候（IoC）

公開情報では具体的な IoC は提示されていないが、事実として：

• CISA KEV に登録されており、悪用が確認されている
  

（SQL インジェクションの性質上、ログには異常なフィルタキーや PostgreSQL 構文が残る可能性があるが、公式情報は未公開）

4. 推奨対策

4.1 本対策（恒久対策）

OpenCVE 推奨：

• Drupal Core を以下以降へ更新
  

  • 10.4.10+
  • 10.5.10+
  • 10.6.9+
  • 11.1.10+
  • 11.2.12+
  • 11.3.10+

• Drupal が使用する DB ユーザーの権限を最小化
  

（不要な INSERT / UPDATE / DELETE を削除）

4.2 暫定回避策（緩和策）

OpenCVE 推奨：

• WAF / リバースプロキシで SQL パターンをブロック
• 影響エンドポイント（JSON:API / Search）へのアクセス制限
• PostgreSQL ドライバを使用しない構成（MySQL 等）への切り替え検討

5. 技術的補足

• 脆弱性は 配列キー（filter[…]）が SQL 構文として扱われることが原因 *Drupal のクエリビルダは値のサニタイズは行うが、構造（フィールド名・演算子）部分の検証が不十分
• PostgreSQL の構文（::text、||、$$...$$）がフィルタをすり抜ける