В мире веб-разработки и информационной безопасности снова звучит тревожный сигнал. Команда сопровождения популярной системы управления контентом Drupal выпустила экстренный бюллетень, в котором описаны несколько новых уязвимостей, затрагивающих ядро платформы. Событие важно не только для администраторов и разработчиков, использующих эту CMS, но и для всех, чьи данные обрабатываются на таких сайтах, - от корпоративных порталов и государственных услуг до интернет-магазинов и новостных ресурсов. Обнаруженные недостатки позволяют злоумышленникам осуществлять межсайтовый скриптинг (XSS), а в определённых условиях - даже выполнять произвольный код на сервере или проводить SQL-инъекции, что ставит под угрозу целостность и конфиденциальность данных.
Детали уязвимостей
Основные факты инцидента были опубликованы 15 апреля 2026 года. Речь идёт о трёх отдельных, но связанных с разными компонентами системы уязвимостях. Первая и наиболее серьёзная из них получила идентификатор CVE-2026-6365 и оценку критического риска. Её суть заключается в недостаточной очистке входных данных в модуле интеграции jQuery, который отвечает за работу всплывающих модальных диалоговых окон, использующих технологию AJAX для динамического обновления контента. Эта ошибка может быть использована для проведения атаки типа "межсайтовый скриптинг". Между тем, такая атака позволяет злоумышленнику внедрить вредоносный JavaScript-код на страницу, которую увидит другой пользователь, например, администратор. В результате злоумышленник может похитить сессионные куки, получить доступ к панели управления сайтом или перенаправить пользователя на фишинговый ресурс.
Вторая обнаруженная проблема, CVE-2026-6366, классифицируется как умеренно критическая. Она представляет собой так называемую "цепочку гаджетов". По своей природе это не самостоятельная эксплуатируемая уязвимость, а набор методов в коде Drupal, который может быть использован как инструмент для эскалации другой атаки. Конкретно, эта цепочка становится опасной, если на целевом сайте уже существует отдельная уязвимость небезопасной десериализации данных. Десериализация - это процесс преобразования данных из формата, удобного для хранения или передачи, обратно в объекты языка программирования. Если злоумышленник может передать в этот процесс контролируемые им вредоносные данные, то с помощью встроенной цепочки методов он может добиться удалённого выполнения кода или проведения SQL-инъекции. Разработчики подчёркивают, что в самой Drupal core на данный момент не известно уязвимостей, позволяющих передать такие данные, однако наличие цепочки создаёт дополнительный риск, особенно при использовании сторонних небезопасных модулей.
Третья уязвимость, CVE-2026-6367, также относится к межсайтовому скриптингу, но имеет более узкую область воздействия. Она затрагивает только версии Drupal 11.3.x и связана с новой функцией подсказок при добавлении ссылок в редакторе CKEditor 5. Подсказки, которые система предлагает при вводе, недостаточно фильтруются. В результате пользователь с правами на создание контента может внедрить вредоносный скрипт, который будет сохранён и выполнен в браузере другого пользователя, например, редактора или администратора, просматривающего или редактирующего эту страницу. Это классический пример stored XSS, или хранимого межсайтового скриптинга, последствия которого могут быть столь же серьёзными, как и у отражённой атаки.
Затронутыми оказались многие активно поддерживаемые ветки Drupal. В зоне риска находятся сайты на версиях 10.5.x до 10.5.9, 10.6.x до 10.6.7, 11.2.x до 11.2.11 и 11.3.x до 11.3.7. Важно отметить, что более старые версии, такие как Drupal 8, 9, 10.4.x, 11.0.x и 11.1.x, официально больше не получают обновлений безопасности, поскольку их жизненный цикл поддержки завершён. Сайты, работающие на этих устаревших выпусках, остаются уязвимыми для новых и старых угроз, и их владельцам настоятельно рекомендуется как можно скорее провести миграцию на поддерживаемую версию. Для администраторов действующих сайтов путь решения очевиден и прописан в каждом бюллетене: необходимо немедленно обновить ядро системы до патченных версий - 10.5.9, 10.6.7, 11.2.11 или 11.3.7 соответственно.
С практической точки зрения, эти уязвимости демонстрируют классические проблемы безопасности веб-приложений: недостаточную валидацию пользовательского ввода и наличие в коде потенциально опасных конструкций. Критическая XSS-уязвимость в AJAX-компонентах затрагивает один из фундаментальных механизмов взаимодействия с пользователем, что повышает вероятность её эксплуатации. Наличие же цепочки гаджетов, хотя и не представляющей прямой угрозы, напоминает о важности защиты всего стека технологий. Даже если ядро CMS безопасно, риск может прийти от сторонних библиотек или модулей, которые могут содержать уязвимость десериализации. В таком случае встроенная в Drupal цепочка методов станет идеальным инструментом для превращения относительно простой уязвимости в катастрофическое удалённое выполнение кода.
Последствия успешной атаки с использованием этих уязвимостей могут быть масштабными. В лучшем случае злоумышленник получит доступ к учётной записи пользователя или администратора, что может привести к дефейсу сайта, краже персональных данных или компрометации содержимого. В худшем сценарии, при комбинации цепочки гаджетов с другой уязвимостью, атакующий может получить полный контроль над сервером, что открывает путь к установке программ-вымогателей, созданию ботнета или хищению всей базы данных. Учитывая, что Drupal широко используется в государственном и корпоративном секторе по всему миру, масштаб потенциального ущерба трудно переоценить. Таким образом, оперативное применение патчей является не просто рекомендацией, а обязательным действием для обеспечения непрерывности бизнеса и защиты репутации. В свою очередь, этот инцидент служит очередным напоминанием о необходимости выстраивания robust-процесса управления обновлениями и постоянного мониторинга безопасности всей используемой программной экосистемы.
Ссылки
- https://www.drupal.org/sa-core-2026-001
- https://www.drupal.org/sa-core-2026-002
- https://www.drupal.org/sa-core-2026-003
