Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18

Highly Critical
コア

2026/5/19(JST)、Drupalコアにおける脆弱性情報が発表されました。
詳細を確認のうえ、対応をおすすめします。

●プロジェクト :Drupalコア
●投稿日 :2026/5/19 JST
●セキュリティリスク :Highly Critical
●脆弱性 :未公開(2026/5/21 JST 公開予定)
 

==概要== 
日本時間2026年5月21日2:00〜6:00の間に、サポート対象となっているすべてのDrupalコアブランチ向けのセキュリティリリースが公開されます。Drupalセキュリティチームは、この時間帯にコアのアップデート作業時間を確保することを強く推奨しています。エクスプロイトは数時間から数日で開発される可能性があります。

すべての構成が影響を受けるわけではありません。セキュリティリリースの時間帯には、対象サイトが影響を受けるかどうか、および緊急アップデートが必要かどうかを確認するための時間を確保してください。回避策に関する情報はアドバイザリに含まれる予定です。

今回のセキュリティリリース前に、現在利用中のDrupalバージョン向けの最新サポートパッチ(バグ修正)リリースにアップデートしておくことを推奨します。これにより、セキュリティ対応とは別のアップグレードに際する問題を事前に解消しておくことができます。(各Drupalバージョン向けの推奨事項は後述します。)

この脆弱性はDrupal Stewardによって保護されています。Drupal Stewardを利用しているサイトは既知の攻撃ベクトルに対しては既に保護されていますが、追加の攻撃ベクトルが発見される可能性があるため、近いうちにアップグレードする必要があります。

影響を受けるバージョン

サポート対象のコアバージョン
セキュリティリリースは、現在サポートされている以下すべてのDrupalコアブランチ向けに提供されます。

  • 11.3.x
  • 11.2.x
  • 10.6.x
  • 10.5.x

これらサポート対象のバージョンのサイトを利用している場合は、セキュリティリリースに備えて、今のうちに各ブランチの最新パッチリリースへアップデートしてください。

サポート終了済みのマイナーバージョン(Drupal 10 および 11) 
通常はDrupalセキュリティチームはサポート終了済みのバージョン向けにはセキュリティリリースを提供しませんが、今回は問題の重大性を考慮し、まだアップデートできていないサイト向けに、修正を含む 11.1.x および 10.4.x のリリースも提供します。そのため、事前に以下を行ってください。

  • Drupal 11.1 または 11.0 を利用しているサイトは、少なくともDrupal 11.1.9へアップデートしてください。
  • Drupal 10.4、10.3、10.2、10.1、10.0 を利用しているサイトは、少なくともDrupal 10.4.9へアップデートしてください。

上記のサイトは、今回のセキュリティアップデートが公開され次第、できるだけ早く適用し、その後近いうちに Drupal 11.3または10.6へアップデートする計画を立ててください。(最近公開された2件のセキュリティアドバイザリSA-CORE-2026-001およびSA-CORE-2026-002は、11.1または10.4向けには提供されません。)

サポート終了済みのメジャーバージョン(Drupal 8および9)
これらのメジャーバージョンは完全にサポート終了となっているため、これらのバージョン向けのリリースは作成されません。ただし、今回の問題の深刻度を考慮し、Drupal 8.9および9.5向けにパッチファイルを提供します。

これらのパッチは手動で適用する必要があります。また、正しく動作する保証はなく、別の不具合やリグレッションを引き起こす可能性があります。しかし、サポート対象のバージョンへアップグレードするまでの間、脆弱性の回避に役立つ可能性があります。

パッチが正常に適用される可能性を高めるため、以下の対応を推奨します。

  • Drupal 9系のサイトは、Drupal 9.5.11へアップデートしてください。
  • Drupal 8系のサイトは、Drupal 8.9.20へアップデートしてください。

Drupal 8または9のサイトについては、できるだけ早く、少なくとも Drupal 10.6へアップデートすることを強く推奨します。Drupal 8および9には、今回の対応では修正されない、既に公開済みの多数のセキュリティ脆弱性が含まれています。これらはDrupal Stewardや今回提供されるベストエフォートのパッチファイルでも対処されません。

Drupal 7は影響を受けません。

情報公開ポリシー

Drupalセキュリティチームおよびその他の関係者は、正式な発表が行われるまで、この脆弱性に関する追加情報を公開することはできません。 正式発表は、 https://www.drupal.org/securityBlueskyMastodonX(旧 Twitter)LinkedIn、およびメール配信を通じて公開されます。 メール配信の登録は、Drupal.orgにログイン後、ユーザープロフィールページから Edit » My newslettersタブでセキュリティニュースレターを購読してください。

セキュリティリリースの告知は、RSSフィードも提供されているDrupal.orgのSecurity advisoriesに掲載されます。
 

==元記事==
https://www.drupal.org/psa-2026-05-18
 

Tags