コンテンツ・マネジメント・システム「Drupal」は、2019年2月20日、認証無しに遠隔からのコード実行(Remote Code Execution、RCE)が可能になるDrupal coreの脆弱性「CVE-2019-6340」に対処するよう促すセキュリティ勧告「SA-CORE-2019-003」を公開しました。CVE-2019-6340の危険度は、Drupalのセキュリティチームが定義した5段階の中で最高の「Highly critical」に分類されています。この脆弱性は、広く利用されている「RESTful Web Services(rest)」モジュールに起因するため、かなりの割合のDrupalが影響を受けると考えられます。影響を受ける条件は以下の両方を満たしていることです。
- 8.6.10より前のDrupal 8.6.Xまたは8.5.11より前のDrupal 8.5.Xを使用していること
- RESTful Web Servicesなどのモジュールを有効化していること
