Jei jūsų svetainė veikia ant „Drupal“ ir naudoja PostgreSQL duomenų bazę, jūs turite gal kelias valandas, o ne dienas. Gegužės 22 dieną „Drupal“ komanda atnaujino savo įspėjimą — kritinė SQL injekcijos spraga, paskelbta vos prieš keturias dienas, jau yra aktyviai atakuojama.
Pažeidžiamumas, žymimas kodu CVE-2026-9082, leidžia užpuolikams siųsti specialiai suformuotas užklausas, kurios suveikia be jokio autentifikavimo — kitaip tariant, įsilaužėliui nereikia nei vartotojo vardo, nei slaptažodžio. Spraga glūdi „Drupal“ duomenų bazės abstrakcijos sąsajoje ir veikia tik tuose serveriuose, kurie naudoja PostgreSQL. SQL injekcija — tai ataka, kai piktavaliai į duomenų bazės užklausas įterpia savo komandas ir taip gali skaityti, keisti ar trinti duomenis.
„Drupal“ savo vidinėje skalėje pažeidžiamumą įvertino 23 balais iš 25 — tai „itin kritinis“ lygis. Savo ruožtu JAV Nacionalinis standartų ir technologijų institutas skyrė 6,5 balo iš 10 pagal CVSS v3 skalę, klasifikuodamas kaip vidutinio sunkumo. Šis neatitikimas kelia klausimų, tačiau praktika rodo — kai kūrėjai patys perspėja apie „išnaudojimą per kelias valandas ar dienas“, geriau klausytis jų.
// reklamaČia gali būti jūsų reklamaSusisiekite →Ką reikia atnaujinti
Sparga paliečia platų „Drupal“ versijų spektrą — nuo 8.x ir 9.x iki 10.x ir 11.x atšakų. „Drupal 8“ ir „Drupal 9“ jau yra neprižiūrimos, tačiau kūrėjai išleido pataisas geriausių pastangų principu. Vis dėlto šiose versijose slypi ir kitų žinomų spragų, todėl jų naudojimas yra rizikingas savaime.
Net jei jūsų svetainė nenaudoja PostgreSQL, atnaujinti vis tiek būtina. Naujausi pataisymai taip pat ištaiso priklausomybių, įskaitant „Symfony“ ir „Twig“, spragas. Spragą atrado „Google“ dukterinės įmonės „Mandiant“ tyrėjas Michaelas Maturi, o pirmasis įspėjimas buvo paskelbtas gegužės 18 dieną.
Šaltiniai
- Drupal: Critical SQL injection flaw now targeted in attacksBleepingcomputer · 2026
- Drupal PSA-2026-05-18Drupal · 2026
- NIST — CVE-2026-9082Nvd · 2026
