2026/5/20 (日本時間：GMT+9)、Drupalコアにおける脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト　：Drupalコア
●投稿日　：2026/5/20
●セキュリティリスク　：Highly Critical
●脆弱性　：SQL injection
●対象バージョン　：>= 8.9.0 < 10.4.10 || >= 10.5.0 < 10.5.10 || >= 10.6.0 < 10.6.9 || >= 11.0.0 < 11.1.10 || >= 11.2.0 < 11.2.12 || >= 11.3.0 < 11.3.10
 

==概要== 
Drupalコアには、データベースに対して実行されるクエリをサニタイズし、SQLインジェクション攻撃を防ぐためのデータベース抽象化APIが含まれています。

このAPIに存在する脆弱性により、攻撃者は特別に細工したリクエストを送信することで、PostgreSQLデータベースを使用しているサイトに対して任意のSQLインジェクションを実行できる可能性があります。これにより情報漏えいが発生する可能性があり、場合によっては権限昇格、リモートコード実行、その他の攻撃に繋がる恐れがあります。

この脆弱性は、匿名ユーザーによって悪用される可能性があります。

このSQLインジェクション脆弱性の影響を受けるのはPostgreSQLを使用しているサイトのみです。ただし、今回のリリースに含まれるサードパーティ依存ライブラリの更新は、すべてのサイトに適用されます。

依存プロジェクトのセキュリティアドバイザリ

このアドバイザリにおける、Drupalのサポート対象ブランチ（11.3、11.2、10.6、10.5）向けのリリースには、SymfonyおよびTwigのセキュリティアップデートも含まれています。これらのプロジェクトでは、今回のDrupalリリースと連携して重要なセキュリティアドバイザリが公開されており、Drupalもその一部の脆弱性の影響を受けます。

サイト構成や利用している拡張モジュールによっては、これら依存プロジェクトの問題の影響を受ける可能性があります。そのため、SQLインジェクション脆弱性の影響の有無に関わらず、これら依存ライブラリを更新することを強く推奨します。また、Viewsや拡張モジュールなどを通じてTwigテンプレートを更新できる権限を持つユーザーロールがある場合、見直すことを推奨します。
 

==解決方法==
最新バージョンをインストールしてください。

以下のリリースは、自動リリースパッケージングが完了し次第利用可能になります。それまでの間、一時的に404エラーが表示される場合があります。また、Packagistではそれより早くアップデートが利用可能になる場合があります。

Drupal 11

• Drupal 11.3.xを使用している場合、Drupal 11.3.10にアップデートしてください。
• Drupal 11.2.xを使用している場合、Drupal 11.2.12にアップデートしてください。
• Drupal 11.1.xまたは11.0.xを使用している場合、Drupal 11.1.10にアップデートしてください。

Drupal 10

• Drupal 10.6.xを使用している場合、Drupal 10.6.9にアップデートしてください。
• Drupal 10.5.xを使用している場合、Drupal 10.5.10にアップデートしてください。
• Drupal 10.4.x以前を使用している場合、Drupal 10.4.10にアップデートしてください。

Drupal 9および8

• Drupal 9系を使用している場合、本問題向けのDrupal 9.5用パッチを手動で適用してください。
• Drupal 8.9を使用している場合、本問題向けのDrupal 8.9用パッチを手動で適用してください。

Drupal 11.1.x、Drupal 11.0.x、Drupal 10.4.x およびそれ以前はサポート終了となっており、セキュリティサポートは提供されません。（Drupal 8およびDrupal 9も既にサポート終了しています。）今回の問題の重大性を考慮し、サポート終了済みバージョン向けのリリースおよびパッチはベストエフォート対応として提供されています。ただし、これらのサポート終了済みバージョンには、既に公開済みのその他のセキュリティ脆弱性も引き続き存在します。
 

==元記事==
https://www.drupal.org/sa-core-2026-004