Команда Drupal выпустила обновления безопасности, устраняющие уязвимость CVE-2026-9082 в ядре CMS. Уязвимость позволяет неаутентифицированным пользователям выполнять произвольные SQL-запросы на сайтах, использующих базы данных PostgreSQL, что может привести к утечке данных, повышению привилегий или удалённому выполнению кода. Затронуты ветки Drupal 10 и 11 — администраторам рекомендуется немедленно установить исправленные версии.

Технические детали уязвимости

Согласно официальному бюллетеню безопасности Drupal, уязвимость находится в абстрактном API для работы с базами данных (database abstraction API), который отвечает за валидацию запросов и защиту от SQL-инъекций. Ирония ситуации в том, что именно компонент, призванный предотвращать SQL-инъекции, сам оказался уязвим к ним.

Атакующий может отправить специально сформированные запросы, которые обходят механизм санитизации и приводят к произвольной SQL-инъекции. Ключевые характеристики уязвимости:

• CVE ID: CVE-2026-9082
• Оценка CVSS: 6.5 из 10.0
• Вектор атаки: удалённый, без аутентификации
• Область воздействия: только сайты на PostgreSQL
• Последствия: утечка информации, повышение привилегий, удалённое выполнение кода

Стоит обратить внимание на расхождение в оценке серьёзности: Drupal классифицирует уязвимость как «highly critical» (высококритичную), тогда как оценка CVSS 6.5 по стандартной шкале v3.x соответствует среднему уровню серьёзности. Drupal использует собственную систему классификации рисков, которая учитывает специфику экосистемы CMS, в частности — возможность эксплуатации анонимными пользователями, что существенно повышает практический риск для публичных веб-сайтов.

Затронутые версии и доступные обновления

Исправления выпущены для следующих версий:

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10

Drupal 7 уязвимости не подвержен. Релизы для поддерживаемых веток (11.3, 11.2, 10.6 и 10.5) дополнительно включают обновления безопасности для компонентов Symfony и Twig, что делает установку последних версий ещё более важной.

Для версий, достигших конца жизненного цикла — Drupal 9.5 и Drupal 8.9 — выпущены ручные патчи. Однако Drupal подчёркивает, что эти патчи предоставлены «на основе лучших усилий» и не гарантируют полной защиты: неподдерживаемые версии содержат другие ранее раскрытые уязвимости.

Ветки Drupal 11.1.x, 11.0.x, 10.4.x и ниже также достигли конца жизненного цикла и не получают регулярного покрытия безопасности.

Оценка воздействия

Хотя уязвимость затрагивает только сайты на PostgreSQL, что сужает область поражения по сравнению с MySQL/MariaDB (более распространёнными в экосистеме Drupal), риск остаётся значительным по нескольким причинам:

• Отсутствие необходимости аутентификации — атака может быть выполнена любым посетителем сайта, что делает эксплуатацию тривиальной при наличии рабочего эксплойта
• Широкий спектр последствий — от чтения содержимого базы данных до полного контроля над системой через удалённое выполнение кода
• PostgreSQL в корпоративном сегменте — эта СУБД чаще используется в крупных и корпоративных инсталляциях Drupal, где потенциальный ущерб от компрометации выше

На момент публикации информация об активной эксплуатации уязвимости в реальных атаках отсутствует, а CVE-2026-9082 не внесена в каталог CISA KEV. Тем не менее SQL-инъекции в популярных CMS исторически привлекают внимание злоумышленников в кратчайшие сроки после публикации деталей.

Рекомендации

1. Немедленно обновите Drupal до исправленной версии, соответствующей вашей ветке. Для поддерживаемых веток (11.3, 11.2, 10.6, 10.5) это приоритетное действие
2. Определите используемую СУБД — если сайт работает на MySQL или MariaDB, уязвимость не применима, но обновление всё равно рекомендуется из-за включённых патчей для Symfony и Twig
3. Для устаревших версий (Drupal 8.9, 9.5) — примените ручные патчи как временную меру и запланируйте миграцию на поддерживаемую ветку
4. Проверьте журналы веб-сервера на предмет аномальных запросов к API базы данных, особенно содержащих нетипичные SQL-конструкции для PostgreSQL
5. Используйте WAF с правилами обнаружения SQL-инъекций как дополнительный уровень защиты на период обновления

Администраторам сайтов на Drupal с PostgreSQL следует рассматривать это обновление как срочное и применить его в течение ближайших 24–48 часов. Сочетание возможности анонимной эксплуатации и потенциала удалённого выполнения кода делает CVE-2026-9082 привлекательной целью для автоматизированных атак — промедление с патчем значительно увеличивает вероятность компрометации.