Drupal устраняет критическую SQL-инъекцию: критическая уязвимость, связанная с SQL-инъекциями, стала объектом атак

Drupal предупреждает, что хакеры пытаются воспользоваться «крайне опасной» уязвимостью к SQL-инъекциям, о которой стало известно ранее на этой неделе.

18 мая проект системы управления контентом (CMS) опубликовал предупреждение с призывом к администраторам выделить время для установки основных обновлений, устраняющих проблему, которой могут воспользоваться злоумышленники «в течение нескольких часов или дней».

Уязвимость, обнаруженная исследователем из Google/Mandiant Майклом Матури, теперь имеет идентификатор CVE-2026-9082. Она затрагивает API абстракции базы данных в Drupal. С помощью специально составленных запросов можно вызвать произвольную SQL-инъекцию на сайтах, использующих PostgreSQL.

SQL-инъекция — это уязвимость, при которой злоумышленники внедряют вредоносные SQL-команды в запросы к базе данных через поля ввода или диалоговые окна на веб-сайтах, что приводит к несанкционированному доступу, изменению или удалению данных в базе.

Уязвимость можно использовать без аутентификации, что может привести к удаленному выполнению кода, повышению привилегий и раскрытию информации.

В обновлении рекомендаций от 22 мая компания Drupal подтвердила, что попытки использования уязвимости были обнаружены.

«Оценка риска была обновлена с учетом того, что попытки использования уязвимости теперь выявляются в реальных условиях», — говорится в обновленных рекомендациях.

Drupal оценил уязвимость как «крайне критическую», присвоив ей 23 балла из 25. Однако Национальный институт стандартов и технологий США присвоил ей оценку «средняя степень опасности» на основании показателя CVSS v3, равного 6,5.

Последствия и рекомендации

CVE-2026-9082 затрагивает широкий спектр версий Drupal, в том числе:

• Drupal 8.9.x
• Drupal 10.4.x до 10.4.10
• Drupal 10.5.x до 10.5.10
• Drupal 10.6.x до 10.6.9
• Drupal 11.0.x / 11.1.x до 11.1.10
• Drupal 11.2.x до 11.2.12
• Drupal 11.3.x до 11.3.10

Владельцам и администраторам веб-сайтов рекомендуется немедленно обновиться до последней версии, доступной для их ветки.

Тем, кто не использует PostgreSQL, все равно рекомендуется обновиться, поскольку последние обновления системы безопасности также содержат исправления для вышестоящих зависимостей, включая Symfony и Twig.

В рекомендациях подчеркивается, что срок службы Drupal 8 и 9 истек (EoL) и что исправления предоставляются на основе принципа “максимальных усилий”; однако эти ветви по-прежнему содержат другие известные уязвимости, поэтому продолжение их использования по своей сути сопряжено с риском.

Разработчики Drupal выпустили срочное обновление безопасности для устранения критической уязвимости SQL-инъекции, получившей идентификатор CVE-2026-9082. Практически сразу после публикации патча начали фиксироваться попытки эксплуатации уязвимости в реальных атаках. Проблема затрагивает сайты, использующие PostgreSQL в качестве базы данных, а злоумышленники могут использовать специально сформированные запросы для выполнения произвольных SQL-команд.

Что известно об уязвимости CVE-2026-9082

Уязвимость была обнаружена исследователем Майклом Матури из Google Mandiant и затрагивает API абстракции базы данных Drupal. Ошибка связана с некорректной обработкой определённых запросов в PostgreSQL, что позволяет атакующему проводить SQL-инъекцию даже без авторизации на сайте.

По данным команды безопасности Drupal, проблема получила статус «Highly Critical». Эксплуатация может привести к:

• раскрытию конфиденциальных данных;
• повышению привилегий;
• выполнению удалённого кода;
• компрометации сайта;
• внедрению вредоносного ПО.

Особую опасность представляет тот факт, что атака возможна анонимно и не требует наличия учётной записи.

Какие версии Drupal затронуты

Под угрозой оказались поддерживаемые ветки Drupal, использующие PostgreSQL:

• Drupal 10.x;
• Drupal 11.x;
• некоторые устаревшие версии Drupal 8.9 и 9.x.

Drupal 7, согласно опубликованной информации, не подвержен данной проблеме.

Атаки начались спустя часы после публикации патча

Команда Drupal заранее предупреждала администраторов, что эксплойты могут появиться «в течение часов или дней» после выхода обновления. Этот прогноз подтвердился очень быстро: специалисты уже зафиксировали активные попытки эксплуатации уязвимости в интернете.

Исследователи отмечают, что подобные атаки особенно опасны для сайтов с публичным доступом, поскольку злоумышленники массово сканируют интернет на наличие уязвимых экземпляров CMS. В ряде случаев SQL-инъекции становятся первым этапом для дальнейшего заражения сайта, установки веб-шеллов или кражи базы данных.

Почему PostgreSQL оказался ключевым фактором

Большинство сайтов на Drupal используют MySQL или MariaDB, однако именно PostgreSQL оказался уязвимым к данной реализации ошибки. Проблема возникла в механизме преобразования запросов и обработки ассоциативных массивов при построении SQL-конструкций.

Хотя доля сайтов на PostgreSQL меньше, подобные системы часто используются:

• корпоративными порталами;
• государственными организациями;
• образовательными учреждениями;
• высоконагруженными проектами.

Поэтому потенциальный ущерб может оказаться весьма серьёзным.

Какие обновления необходимо установить

Drupal выпустил исправления для всех поддерживаемых веток. Администраторам рекомендуется как можно быстрее обновиться до последних безопасных версий.

Также специалисты советуют:

1. Проверить журналы доступа на предмет подозрительных SQL-запросов.
2. Ограничить доступ к административным разделам.
3. Выполнить резервное копирование базы данных.
4. Проверить сайт на наличие веб-шеллов и неизвестных PHP-файлов.
5. Обновить сторонние модули и зависимости.

Если обновление невозможно выполнить немедленно, рекомендуется временно ограничить доступ к сайту или использовать WAF для фильтрации вредоносных запросов.

Почему SQL-инъекции остаются актуальной угрозой

Несмотря на развитие современных фреймворков и ORM-систем, SQL-инъекции продолжают оставаться одной из самых опасных уязвимостей веб-приложений. Причина в том, что даже единичная ошибка в обработке запросов способна привести к полному захвату инфраструктуры.

Для CMS вроде Drupal подобные проблемы особенно критичны, поскольку платформа широко используется крупными организациями и хранит большие объёмы пользовательских данных.

Кроме того, публикация технических деталей уязвимости обычно приводит к появлению публичных PoC-эксплойтов, после чего атаки начинают массово автоматизироваться.

Выводы

Критическая уязвимость CVE-2026-9082 стала очередным напоминанием о том, насколько важно оперативно устанавливать обновления безопасности. Drupal заранее предупредил сообщество о высокой вероятности появления эксплойтов, и уже через короткое время атаки действительно начались.

Администраторам сайтов на Drupal с PostgreSQL необходимо срочно проверить используемые версии CMS и установить патчи. Даже кратковременная задержка с обновлением может привести к компрометации сайта, утечке данных или заражению инфраструктуры вредоносным ПО.

Часто задаваемые вопросы

Что такое CVE-2026-9082?

Это критическая уязвимость SQL-инъекции в Drupal, затрагивающая механизм работы с PostgreSQL.

Какие сайты находятся под угрозой?

Сайты на Drupal 10.x и 11.x, использующие PostgreSQL в качестве базы данных.

Можно ли атаковать сайт без авторизации?

Да. Уязвимость может эксплуатироваться анонимными пользователями.

Drupal 7 уязвим?

Нет, Drupal 7 не затронут данной проблемой.

Что может сделать злоумышленник?

Возможны кража данных, повышение привилегий, внедрение вредоносного кода и полный захват сайта.

Достаточно ли просто установить обновление?

Установка патча обязательна, но также рекомендуется проверить серверные логи и убедиться, что сайт не был скомпрометирован до обновления.

Редактор: AndreyEx