Drupal предупредил о попытках эксплуатации критической SQL-инъекции в ядре

Команда Drupal обновила бюллетень SA-CORE-2026-004 и сообщила, что попытки эксплуатации CVE-2026-9082 уже фиксируются в реальных атаках. Уязвимость затрагивает сайты на PostgreSQL и позволяет анонимному атакующему выполнить произвольную SQL-инъекцию через API абстракции базы данных.

Команда Drupal 22 мая обновила бюллетень SA-CORE-2026-004 по CVE-2026-9082: оценка риска была изменена после обнаружения попыток эксплуатации. Уязвимость получила оценку Drupal «Highly critical» — 23 из 25.

Проблема находится в database abstraction API ядра Drupal. Специально сформированные запросы позволяют выполнить произвольную SQL-инъекцию на сайтах, использующих PostgreSQL; эксплуатация возможна без аутентификации и может привести к раскрытию информации, повышению привилегий, удалённому выполнению кода или другим атакам.

Затронуты версии Drupal core от 8.9.0 до 10.4.9 включительно, 10.5.0–10.5.9, 10.6.0–10.6.8, 11.0.0–11.1.9, 11.2.0–11.2.11 и 11.3.0–11.3.9. Администраторам рекомендуется немедленно установить актуальную версию своей ветки: 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 или 10.4.10.

Drupal также советует обновиться даже сайтам без PostgreSQL, поскольку релизы включают обновления зависимостей Symfony и Twig. Для неподдерживаемых веток, включая Drupal 8 и 9, исправления предоставлены на условиях best effort, но их дальнейшее использование остаётся рискованным из-за других известных уязвимостей. О попытках эксплуатации также сообщил BleepingComputer.