Tealium iQ Tag Management - Critical - Unsupported - SA-CONTRIB-2026-064(更新)

Critical
拡張モジュール

日本時間2026/6/25に発表された、Tealium iQ Tag Managementにおける脆弱性について、情報が更新されました。
対象モジュールをお使いの方は、確認をおすすめします。

●プロジェクト :Tealium iQ Tag Management
●投稿日 :2026/6/25(2026/6/27更新) JST
●セキュリティリスク :Critical
●脆弱性 :PHP object injection
●対象バージョン :<2.4.0

==概要==

Tealium iQ Tag Managementモジュールは、DrupalとTealium iQを連携するための機能を提供します。

tealiumiqは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。

この脆弱性は、攻撃者がtealiumiqフィールドを含むコンテンツエンティティを編集する権限を持っている場合にのみ悪用可能です。さらに、この脆弱性が悪用されるためには、Drupalコアのjsonapiモジュールが有効化されており、デフォルトでは無効となっている「Accept all JSON:API create, read, update, and delete operations」オプションが有効になっている、あるいは攻撃者がフィールドの値を直接編集できる別の手段を持っている必要があります。

注: このプロジェクトは日本時間2026年6月25日にセキュリティチームによってサポート対象外とされましたが、修正がリリースされたため、2026年6月27日にサポートが復活しました。

==解決方法==

最新バージョンをインストールしてください。

Tealium iQ Tag Managementモジュールを使用している場合は Tealium iQ Tag Management 8.x.2.4 にアップデートしてください。

==元記事==

https://www.drupal.org/sa-contrib-2026-064