Команда Drupal випустила оновлення безпеки, що усувають вразливість CVE-2026-9082 у ядрі CMS. Вразливість дає змогу неавтентифікованим користувачам виконувати довільні SQL-запити на сайтах, які використовують бази даних PostgreSQL, що може призвести до витоку даних, підвищення привілеїв або віддаленого виконання коду. Під загрозою гілки Drupal 10 і 11 — адміністраторам рекомендується негайно встановити виправлені версії.

Технічні деталі вразливості

Згідно з офіційним бюлетенем безпеки Drupal, вразливість міститься в абстрактному API для роботи з базами даних (database abstraction API), який відповідає за валідацію запитів і захист від SQL injection. Іронія ситуації полягає в тому, що саме компонент, покликаний запобігати SQL injection, сам виявився вразливим до них.

Зловмисник може надіслати спеціально сформовані запити, які обходять механізм санітизації та призводять до довільної SQL injection. Ключові характеристики вразливості:

• CVE ID: CVE-2026-9082
• Оцінка CVSS: 6.5 з 10.0
• Вектор атаки: віддалений, без автентифікації
• Область впливу: лише сайти на PostgreSQL
• Наслідки: витік інформації, підвищення привілеїв, віддалене виконання коду

Варто звернути увагу на розбіжність в оцінці серйозності: Drupal класифікує вразливість як «highly critical» (висококритичну), тоді як оцінка CVSS 6.5 за стандартною шкалою v3.x відповідає середньому рівню серйозності. Drupal використовує власну систему класифікації ризиків, яка враховує специфіку екосистеми CMS, зокрема — можливість експлуатації анонімними користувачами, що суттєво підвищує практичний ризик для публічних вебсайтів.

Уражені версії та доступні оновлення

Виправлення випущено для таких версій:

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10

Drupal 7 цій вразливості не піддається. Релізи для підтримуваних гілок (11.3, 11.2, 10.6 і 10.5) додатково містять оновлення безпеки для компонентів Symfony і Twig, що робить встановлення останніх версій ще важливішим.

Для версій, що досягли кінця життєвого циклу — Drupal 9.5 і Drupal 8.9 — випущено ручні патчі. Втім, Drupal наголошує, що ці патчі надані «на основі найкращих зусиль» і не гарантують повного захисту: непідтримувані версії містять інші раніше розкриті вразливості.

Гілки Drupal 11.1.x, 11.0.x, 10.4.x і нижчі також досягли кінця життєвого циклу та не отримують регулярного покриття з безпеки.

Оцінка впливу

Хоча вразливість зачіпає лише сайти на PostgreSQL, що звужує масштаб ураження порівняно з MySQL/MariaDB (більш поширеними в екосистемі Drupal), ризик залишається значним із кількох причин:

• Відсутність потреби в автентифікації — атаку може здійснити будь-який відвідувач сайту, що робить експлуатацію тривіальною за наявності робочого експлойта
• Широкий спектр наслідків — від читання вмісту бази даних до повного контролю над системою через віддалене виконання коду
• PostgreSQL у корпоративному сегменті — ця СУБД частіше використовується у великих і корпоративних інсталяціях Drupal, де потенційна шкода від компрометації вища

На момент публікації інформація про активну експлуатацію вразливості в реальних атаках відсутня, а CVE-2026-9082 не внесена до каталогу CISA KEV. Тим не менш, SQL injection у популярних CMS історично дуже швидко привертають увагу зловмисників після оприлюднення деталей.

Рекомендації

1. Негайно оновіть Drupal до виправленої версії, що відповідає вашій гілці. Для підтримуваних гілок (11.3, 11.2, 10.6, 10.5) це першочергова дія
2. Визначте, яку СУБД ви використовуєте — якщо сайт працює на MySQL або MariaDB, вразливість не застосовується, але оновлення все одно рекомендоване через включені патчі для Symfony і Twig
3. Для застарілих версій (Drupal 8.9, 9.5) — застосуйте ручні патчі як тимчасовий захід і сплануйте міграцію на підтримувану гілку
4. Перевірте журнали вебсервера на наявність аномальних запитів до API бази даних, особливо таких, що містять нетипові SQL-конструкції для PostgreSQL
5. Використовуйте WAF з правилами виявлення SQL injection як додатковий рівень захисту на період оновлення

Адміністраторам сайтів на Drupal із PostgreSQL слід розглядати це оновлення як термінове та застосувати його протягом найближчих 24–48 годин. Поєднання можливості анонімної експлуатації та потенціалу віддаленого виконання коду робить CVE-2026-9082 привабливою ціллю для автоматизованих атак — зволікання з установленням патча суттєво підвищує ймовірність компрометації.