기술 설명
Drupal Core는 PostgreSQL을 데이터베이스 백엔드로 사용하는 설치에 영향을 미치는 데이터베이스 추상화 API의 SQL injection 취약점(CWE-89)을 포함하고 있습니다. 이 취약점은 영향을 받는 Drupal 사이트로 전송된 특수하게 제작된 요청을 통해 익명 사용자가 악용할 수 있습니다. Drupal은 2026년 5월 20일 보안 공지 SA-CORE-2026-004에서 이 문제를 공개했으며, '매우 심각'으로 평가했습니다. CISA는 2026년 5월 22일 CVE-2026-9082를 알려진 악용된 취약점 카탈로그에 추가했으며, 현재 진행 중인 악용을 확인했습니다. 성공적인 악용은 정보 공개, 권한 상승, 원격 코드 실행 또는 기타 후속 공격으로 이어질 수 있습니다. Drupal은 관리자들에게 공개 공지 후 몇 시간 또는 며칠 이내에 악용 도구가 개발될 수 있다고 경고했습니다.
공격 경로
SQL injection은 PostgreSQL 쿼리를 처리할 때 Drupal Core의 사전 인증 경로를 통해 트리거됩니다. 공개 연구에서는 /user/login?_format=json을 취약한 코드 싱크에 도달하는 하나의 익명 경로로 확인했습니다. 공격자는 악의적인 요청을 만들어 데이터베이스 추상화 계층에 SQL 명령을 주입하고, 인증을 우회하며, 임의의 SQL 작업을 실행할 수 있습니다. 이 결함은 수정된 버전 이전의 8.9.0부터 여러 10.x 및 11.x 브랜치를 포함한 Drupal Core 버전에 영향을 미칩니다.
영향받는 시스템
PostgreSQL 데이터베이스 백엔드를 사용하는 Drupal Core 설치: Drupal 8.9.0 10.4.10 미만; 10.5.x 10.5.10 미만; 10.6.x 10.6.9 미만; 11.0.x 및 11.1.x 11.1.10 미만; 11.2.x 11.2.12 미만; 11.3.x 11.3.10 미만. MySQL, MariaDB 또는 SQLite를 사용하는 설치는 SQL injection 구성 요소의 영향을 받지 않지만, 번들된 Symfony 및 Twig 보안 수정을 위해 여전히 업데이트해야 합니다.
완화 방안
실행 중인 브랜치의 수정된 Drupal Core 버전으로 즉시 업그레이드하세요: 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 또는 11.3.10. 지원 종료 브랜치(Drupal 8.x, 9.x 및 구형 10.x 및 11.x 마이너)의 경우, Drupal은 예외적인 최선의 노력 패치를 출시했습니다. 그러나 지원 브랜치로의 마이그레이션이 유일한 장기 보안 솔루션입니다. 설치가 PostgreSQL을 사용하는지 확인하세요. 그렇지 않으면 SQL injection은 적용되지 않지만, 다른 보안 수정을 위해 업데이트는 여전히 권장됩니다. 2026년 5월 18일 이후의 로그에서 /user/login?_format=json으로의 비정상적인 POST 트래픽, 500 오류 응답 또는 비정상적인 JSON:API 요청을 검토하세요. 연방 기관은 CISA KEV 지침에 따라 2026년 5월 27일까지 보안 업데이트를 완료해야 합니다.