Drupal выпустил срочные обновления безопасности для ядра CMS из-за уязвимости CVE-2026-9082. Ошибка получила рейтинг highly critical по внутренней шкале проекта и затрагивает сайты Drupal, которые используют PostgreSQL в качестве базы данных. Проблема находится в API абстракции базы данных — слое, который должен помогать безопасно формировать SQL-запросы и защищать приложение от инъекций.
Уязвимость позволяет отправлять специально подготовленные запросы и добиваться произвольной SQL-инъекции на сайтах с PostgreSQL. В худших сценариях это может привести к раскрытию данных, повышению привилегий, удалённому выполнению кода или другим атакам. Самая неприятная часть — эксплуатация возможна анонимно, без учётной записи на сайте.
Drupal выпустил исправления для веток 11.3, 11.2, 11.1, 10.6, 10.5 и 10.4. Безопасные версии: Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 и 10.4.10. Разработчики отдельно указали, что Drupal 7 этой конкретной проблеме не подвержен.
Ситуация быстро стала практической, а не теоретической. 22 мая Drupal обновил предупреждение и сообщил, что попытки эксплуатации уже фиксируются в реальных сетях. BleepingComputer также написал, что атаки начались вскоре после публикации деталей.
Imperva оценила раннюю активность примерно в 15 тысяч попыток атак против почти 6 тысяч сайтов в 65 странах. Основная часть активности пока похожа на разведку и проверку доступных целей: сканеры ищут сайты Drupal, которые работают на уязвимой связке с PostgreSQL. Среди первых заметных целей исследователи выделяли игровые и финансовые сайты.
Уязвимости в ядре Drupal с удалённой эксплуатацией быстро превращаются в массовое сканирование интернета. Проект заранее выпустил редкое публичное предупреждение для администраторов: обновление будет критическим, а рабочие эксплоиты могут появиться в течение часов или дней после раскрытия деталей.
Технически это не «дырка во всех Drupal-сайтах». CVE-2026-9082 касается именно установок с PostgreSQL. Сайты на MySQL, MariaDB и SQLite не попадают под этот вектор, но свежие релизы Drupal также включают обновления зависимостей Symfony и Twig. Поэтому обновление полезно и для инсталляций, где PostgreSQL не используется.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
