Drupal предупреждает, что Хакеры пытаются воспользоваться уязвимостью типа «SQL-инъекция» с «крайне критическим» уровнем опасности, о которой было объявлено ранее.
18 мая разработчики системы управления контентом (CMS) опубликовали официальное предупреждение, призывая администраторов выделить время на обновление ядра, устраняющее проблему, которую злоумышленники могут начать использовать «в течение нескольких часов или дней».
Эта уязвимость теперь отслеживается под номером CVE-2026-9082 и была обнаружена исследователем из Google/Mandiant Майклом Матури. Она затрагивает API абстракции Базы данных Drupal. Уязвимость позволяет специально сформированным запросам инициировать произвольную SQL-инъекцию на сайтах, использующих PostgreSQL.
SQL-инъекция — это уязвимость, при которой злоумышленники вставляют вредоносные SQL-команды в запросы к базе данных через поля ввода пользователя или диалоговые окна на веб-сайтах, что приводит к несанкционированному доступу, изменению или удалению данных базы данных.
Эта уязвимость может быть использована без аутентификации и может привести к удалённому выполнению кода, повышению привилегий и раскрытию информации.
«Уровень риска был обновлён, чтобы отразить тот факт, что попытки эксплуатации уязвимости в настоящее время обнаруживаются в реальных условиях»
— говорится в обновлённом предупреждении
Drupal оценил уязвимость как «крайне критическую», присвоив ей внутренний балл 23 из 25. Однако NIST оценил её как уязвимость средней степени опасности на основе оценки CVSS v3, равной 6,5.
Последствия и рекомендации
CVE-2026-9082 затрагивает широкий спектр версий Drupal, в том числе:
- Drupal 8.9.x
- Drupal 10.4.x до версии 10.4.10
- Drupal 10.5.x до версии 10.5.10
- Drupal 10.6.x до версии 10.6.9
- Drupal 11.0.x / 11.1.x до версии 11.1.10
- Drupal 11.2.x до версии 11.2.12
- Drupal 11.3.x до версии 11.3.10
Владельцам и администраторам веб-сайтов рекомендуется немедленно обновиться до последней версии, доступной для их ветки.
Тем, кто не использует PostgreSQL, всё равно рекомендуется выполнить обновление, так как последние обновления безопасности также включают исправления для вышестоящих зависимостей, в том числе Symfony и Twig.
В рекомендации подчеркивается, что Drupal 8 и 9 достигли конца срока поддержки (EoL), и исправления предоставляются по мере возможности; однако эти ветки по-прежнему содержат другие известные уязвимости, поэтому их дальнейшее использование сопряжено с риском.




Комментарии (0)