CISA Menambahkan Kerentanan SQL Injection Drupal Core ke Katalog KEV — CVE-2026-9082

Drupal Core berisi kerentanan SQL injection (CWE-89) dalam API abstraksi basis datanya yang mempengaruhi instalasi menggunakan PostgreSQL sebagai backend basis data. Kerentanan ini dapat dieksploitasi oleh pengguna anonim melalui permintaan khusus yang dikirim ke situs Drupal yang terpengaruh. Drupal mengungkapkan masalah ini pada 20 Mei 2026, dalam penasihat keamanan SA-CORE-2026-004, memberi peringkat 'Sangat kritis.' CISA menambahkan CVE-2026-9082 ke katalog Kerentanan yang Dieksploitasi Secara Aktif pada 22 Mei 2026, setelah mengkonfirmasi eksploitasi aktif di lapangan. Eksploitasi yang berhasil dapat menyebabkan pengungkapan informasi, eskalasi privilege, eksekusi kode jarak jauh, atau serangan lanjutan lainnya. Drupal memperingatkan administrator bahwa eksploit mungkin dikembangkan dalam hitungan jam atau hari setelah penasihat publik.

SQL injection dipicu melalui jalur pra-autentikasi di Drupal Core saat menangani kueri PostgreSQL. Penelitian publik mengidentifikasi /user/login?_format=json sebagai salah satu rute anonim ke sink kode yang rentan. Penyerang dapat membuat permintaan berbahaya yang menyuntikkan perintah SQL ke dalam lapisan abstraksi basis data, melewati autentikasi dan menjalankan operasi SQL sewenang-wenang. Kerusakan ini mempengaruhi versi Drupal Core dari 8.9.0 melalui beberapa cabang 10.x dan 11.x sebelum rilis yang diperbaiki.

Instalasi Drupal Core menggunakan backend basis data PostgreSQL: Drupal 8.9.0 sebelum 10.4.10; 10.5.x sebelum 10.5.10; 10.6.x sebelum 10.6.9; 11.0.x dan 11.1.x sebelum 11.1.10; 11.2.x sebelum 11.2.12; 11.3.x sebelum 11.3.10. Instalasi menggunakan MySQL, MariaDB, atau SQLite tidak terpengaruh oleh komponen SQL injection tetapi tetap harus diperbarui untuk perbaikan keamanan Symfony dan Twig yang disertakan.

Tingkatkan segera ke versi Drupal Core yang diperbaiki untuk cabang yang berjalan: 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12, atau 11.3.10. Untuk cabang akhir hayat (Drupal 8.x, 9.x, dan minor 10.x dan 11.x yang lebih lama), Drupal merilis patch upaya terbaik yang luar biasa; namun, migrasi ke cabang yang didukung adalah satu-satunya solusi keamanan jangka panjang. Konfirmasi apakah instalasi Anda menggunakan PostgreSQL; jika tidak, SQL injection tidak berlaku, tetapi pembaruan tetap direkomendasikan untuk perbaikan keamanan lainnya. Tinjau log sejak 18 Mei 2026, ke depan untuk lalu lintas POST yang tidak normal ke /user/login?_format=json, respons kesalahan 500, atau permintaan JSON:API yang tidak biasa. Agensi federal harus melakukan remediasi pada 27 Mei 2026, sesuai dengan panduan CISA KEV.