技术说明
Drupal Core在其数据库抽象API中包含SQL注入漏洞(CWE-89),影响使用PostgreSQL作为数据库后端的安装。该漏洞可被匿名用户通过向受影响的Drupal站点发送特制请求来利用。Drupal于2026年5月20日在安全公告SA-CORE-2026-004中披露了该问题,将其评级为"高度关键"。CISA在确认野外存在活跃利用后,于2026年5月22日将CVE-2026-9082添加到其已知被利用漏洞目录中。成功利用可能导致信息泄露、权限提升、远程代码执行或其他后续攻击。Drupal警告管理员,漏洞利用可能在公开公告发布后数小时或数天内被开发出来。
攻击途径
SQL注入通过Drupal Core处理PostgreSQL查询时的预认证路径触发。公开研究确定/user/login?_format=json是通向易受攻击代码接收点的匿名路由之一。攻击者可以制作恶意请求,将SQL命令注入到数据库抽象层中,绕过认证并执行任意SQL操作。该漏洞影响从8.9.0到修复版本发布前的多个10.x和11.x分支的Drupal Core版本。
受影响系统
使用PostgreSQL数据库后端的Drupal Core安装:10.4.10之前的Drupal 8.9.0;10.5.10之前的10.5.x;10.6.9之前的10.6.x;11.1.10之前的11.0.x和11.1.x;11.2.12之前的11.2.x;11.3.10之前的11.3.x。使用MySQL、MariaDB或SQLite的安装不受SQL注入组件影响,但仍应更新以获得捆绑的Symfony和Twig安全修复。
缓解措施
立即升级到您运行分支的固定Drupal Core版本:10.4.10、10.5.10、10.6.9、11.1.10、11.2.12或11.3.10。对于生命周期结束的分支(Drupal 8.x、9.x以及较旧的10.x和11.x次要版本),Drupal发布了特殊的尽力而为补丁;但是,迁移到受支持的分支是唯一的长期安全解决方案。确认您的安装是否使用PostgreSQL;如果不是,SQL注入不适用,但仍建议更新以获得其他安全修复。检查从2026年5月18日起的日志,查找/user/login?_format=json的异常POST流量、500错误响应或异常的JSON:API请求。根据CISA KEV指导,联邦机构必须在2026年5月27日前进行修复。