Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило срочное предупреждение об уязвимости SQL-инъекции в ядре Drupal Core, которой присвоен идентификатор CVE-2026-9082. На данный момент злоумышленники активно используют этот дефект в реальных атаках. CISA уже включило данную уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), что сигнализирует о высоком риске для организаций, применяющих уязвимые версии Drupal.
Уязвимость CVE-2026-9082
Проблема кроется в неправильной обработке пользовательского ввода в программном интерфейсе абстракции базы данных платформы. По классификации CWE-89 это типичная SQL-инъекция. Атакующие могут отправлять специально сформированные HTTP-запросы, которые обходят механизмы фильтрации и выполняют вредоносные SQL-команды напрямую на сервере базы данных. Успешная эксплуатация позволяет злоумышленникам повышать свои привилегии в системе, извлекать конфиденциальные данные из базы, а в некоторых случаях - добиться удаленного выполнения кода (RCE) на уязвимом сервере. Последнее особенно опасно, так как открывает возможность полного захвата контроля над сайтом или веб-приложением.
Для эксплуатации не требуется аутентификация - злоумышленник может отправить вредоносный запрос удаленно, без предварительного доступа к системе. Поскольку Drupal используется для управления контентом на множестве корпоративных и государственных веб-сайтов, поверхность атаки огромна. Особую опасность уязвимость представляет в средах, где контроль доступа к базе данных настроен слабо, а межсетевые экраны уровня приложений (WAF) не имеют правил для обнаружения попыток SQL-инъекций.
Команда безопасности Drupal уже выпустила исправления, и специалистам по информационной безопасности настоятельно рекомендуется применить их как можно скорее. В первую очередь необходимо установить последние обновления безопасности, выпущенные командой Drupal. Кроме того, следует пересмотреть и ужесточить политики доступа к базе данных, ограничив привилегии учетных записей, используемых веб-приложением. Правила межсетевых экранов уровня приложений стоит обновить, чтобы они могли выявлять характерные для SQL-инъекций запросы. Также критически важно настроить мониторинг журналов событий на предмет подозрительных шаблонов запросов и необычной активности в базе данных.
Если по каким-то причинам патч невозможно установить немедленно, следует рассмотреть возможность временного отключения уязвимых сервисов или ограничения внешнего доступа к ним. Например, можно временно заблокировать доступ к административным интерфейсам Drupal из интернета, пока не будет установлено обновление.
Этот инцидент подчеркивает общую тенденцию: злоумышленники все чаще нацеливаются на широко распространенные системы управления контентом (CMS), чтобы получить начальную точку проникновения в корпоративные сети. SQL-инъекция остается одной из самых часто используемых уязвимостей - она проста в реализации, но при этом способна нанести колоссальный ущерб. Специалистам по безопасности стоит уделять первоочередное внимание управлению патчами и непрерывно отслеживать угрозы через каналы разведки - особенно для уязвимостей, уже попавших в каталог CISA KEV.
Пока эксплуатация CVE-2026-9082 продолжается, своевременное устранение дефекта станет решающим фактором для предотвращения утечек данных и полной компрометации систем. Организациям, использующим Drupal, нельзя откладывать обновление - каждая минута промедления повышает вероятность успешной атаки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-9082
- https://nvd.nist.gov/vuln/detail/CVE-2026-9082
- https://www.drupal.org/sa-core-2026-004
- https://www.cisa.gov/news-events/alerts/2026/05/22/cisa-adds-one-known-exploited-vulnerability-catalog
