Свежая уязвимость в Drupal заставила напрячься всех веб-мастеров
Счёт идёт на часы, а промедление грозит безвозвратной потерей конфиденциальной информации.
Администраторам сайтов на Drupal необходимо срочно проверить версию движка, особенно если проект работает с PostgreSQL. В ядре CMS обнаружили уязвимость, через которую злоумышленник может добраться до данных сайта, повысить права, а в отдельных сценариях запустить код на сервере.
Проблема получила идентификатор CVE-2026-9082 и оценку 6,5 балла по шкале CVSS. Несмотря на не самую высокую оценку, Drupal классифицировал уязвимость как «highly critical» из-за возможных последствий. Для эксплуатации не нужна учётная запись; запросы может отправлять анонимный пользователь.
Уязвимость затрагивает API абстракции базы данных в Drupal Core. Такой механизм проверяет запросы и помогает защищать сайты от SQL-инъекций. Ошибка в проверке позволяет отправить специально подготовленный запрос и провести произвольную SQL-инъекцию на сайтах, которые используют PostgreSQL.
Команда Drupal выпустила исправленные версии 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 и 10.4.10. Drupal 7, по данным проекта, не затронут. Для поддерживаемых веток 11.3, 11.2, 10.6 и 10.5 свежие сборки также включают обновления безопасности Symfony и Twig, поэтому откладывать переход на новые версии рискованно.
Отдельные исправления для ручной установки подготовлены для Drupal 9.5 и 8.9, хотя обе ветки уже сняты с поддержки. Разработчики подчёркивают, что такие сборки выпущены только как временная помощь из-за серьёзности проблемы. Старые версии всё равно сохраняют другие ранее раскрытые уязвимости, а Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x и более ранние ветки больше не получают полноценное сопровождение.