Разработчики Drupal опубликовали обновление безопасности для модуля Location Selector. Версии ниже 1.3.0 содержат уязвимость класса SQL-инъекция, которой присвоен идентификатор CVE-2026-15081. Риск оценён как критический - 19 баллов из 25 по шкале NIST. Атака признана теоретически возможной, но в случае успешной эксплуатации злоумышленник смог бы получить полный доступ к данным базы.
Уязвимость CVE-2026-15081
Location Selector - это модуль, предоставляющий фильтр для Views, с помощью которого пользователи выбирают географические локации. Проблема возникла в одном из таких фильтров: разработчики не предусмотрели достаточную очистку значений, поступающих из пользовательского ввода. В результате несанитизированная строка могла быть передана напрямую в SQL-запрос. Это классический вектор для внедрения вредоносного кода в структуру запроса к базе данных.
Уязвимость затрагивает все сайты на Drupal, где установлен модуль Location Selector версии 8.x-1.0, 8.x-1.1 или 8.x-1.2. Для эксплуатации необходимо, чтобы на сайте существовало представление (View), использующее указанный фильтр, и это представление было настроено на приём данных от посетителей. При таких условиях отправка специально сформированного запроса через форму или URL могла привести к выполнению произвольных SQL-команд. Потенциальная атака позволила бы чтению, изменению или удалению записей из таблиц базы данных - вплоть до полной компрометации системы.
Степень опасности усугубляется тем, что модули расширений для Drupal нередко развёртываются на сайтах с конфиденциальной информацией: интернет-магазины, корпоративные порталы, государственные ресурсы. Даже если уязвимость не эксплуатировалась в реальных атаках, её наличие создаёт серьёзный риск для владельцев сайтов, которые используют Location Selector. Разработчики подчёркивают, что уязвимость не проявляется автоматически - она требует определённых условий, но в сообществе Drupal она классифицируется как критическая, что означает обязательность немедленного обновления.
В официальном бюллетене SA-CONTRIB-2026-072 указано, что единственным надёжным способом защиты является установка последней стабильной версии модуля - 8.x-1.3. Процесс обновления типичен для Drupal: достаточно загрузить новую версию через интерфейс управления модулями или выполнить команду "drush up location_selector". После обновления необходимо очистить кеш, чтобы изменения вступили в силу. Временных обходных путей, отключающих фильтр без удаления модуля, в бюллетене не предложено, поэтому откладывать патч не рекомендуется.
Текущий релиз закрывает одну уязвимость CVE-2026-15081 и не содержит других изменений функциональности. Для администраторов сайтов, которые не могут сразу выполнить обновление, следует хотя бы временно отключить модуль Location Selector или убрать из представлений фильтр, принимающий пользовательский ввод. Однако такой подход снижает работоспособность сайта и не гарантирует полной защиты, если в системе останутся другие зависимости.
Случай с Location Selector вновь напоминает, что даже небольшие модули, решающие узкую задачу, могут стать точкой входа для атаки. SQL-инъекции остаются одним из самых распространённых и опасных классов уязвимостей в веб-приложениях, и Drupal-сообщество традиционно уделяет их исправлению приоритетное внимание. Разработчики модуля оперативно выпустили патч, и теперь задача администраторов - своевременно его применить.
Ссылки