Популярная система управления контентом Drupal снова оказалась в центре внимания специалистов по информационной безопасности. В середине апреля 2026 года была подтверждена опасная уязвимость, затрагивающая несколько основных веток продукта. Речь идёт о критической проблеме, которая позволяет злоумышленнику удалённо выполнить произвольный код на сервере жертвы. Риску подвержены миллионы веб-ресурсов по всему миру, включая крупные корпоративные и государственные порталы.
Детали уязвимости
Уязвимость получила идентификатор CVE-2026-6366 и зарегистрирована в Банке данных угроз безопасности информации под номером BDU:2026-07320. Она затрагивает несколько линеек продукта. В зоне поражения оказались сборки Drupal начиная от версии 10.5 до 10.5.9, от 10.6 до 10.6.7, от 11.2 до 11.2.11 и от 11.3 до 11.3.7. Как уточняется в официальном бюллетене, проблема кроется в ядре CMS, а не в сторонних модулях и темах оформления. Это означает, что патч требуется абсолютному большинству установок.
Проблема связана с непринятием мер по защите структуры веб-страницы. В классификации уязвимостей данный тип ошибки обозначается как CWE-79. На практике это означает, что атакующий может внедрить вредоносный код непосредственно в тело страницы. При этом жертве даже не нужно совершать каких-либо дополнительных действий - достаточно простого открытия заражённой страницы в браузере. Дело в том, что оценки базового вектора в стандарте CVSS третьей версии указывают на то, что атака не требует учётной записи пользователя и взаимодействия с пострадавшим. Любой интернет-пользователь способен инициировать эксплойт, если найдёт способ отправить запрос к уязвимому веб-узлу.
Базовый вектор уязвимости выглядит следующим образом: AV:N (доступ через сеть), AC:L (сложность атаки низкая), PR:N (привилегии не требуются), UI:N (взаимодействие с пользователем не требуется). Уровень воздействия по всем трём категориям - конфиденциальность, целостность и доступность - оценён как высокий. Итоговая оценка по шкале CVSS 3.1 составляет 9,8 балла из десяти возможных. Это критический уровень опасности. В версии стандарта 2.0 показатель достигает максимальной отметки в 10 баллов.
Примечательно, что уязвимость уже подтверждена самим производителем. Способ эксплуатации обозначен как инъекция. Это означает, что злоумышленник может внедрить произвольные данные, которые будут обработаны ядром системы. Сведения о существовании готового эксплойта в открытом доступе выясняются. Однако специалисты по безопасности уже призывают администраторов не откладывать обновление. Учитывая критичность оценки и широкое распространение Drupal, вероятность появления рабочего эксплойта в ближайшее время крайне высока.
Для пользователей последствия могут быть самыми серьёзными. Удалённое выполнение кода даёт нападающему полный контроль над сервером. Взломщик может не только украсть содержимое базы данных, но и установить вредоносное программное обеспечение. В случае компрометации сайта на Drupal под угрозой оказываются учётные данные администраторов, личная информация зарегистрированных пользователей и коммерческая тайна предприятий. Более того, через захваченный сервер злоумышленники часто организуют атаки на другие ресурсы компании. Например, они могут получить доступ к внутренней сети или подменить файлы, распространяя программы-вымогатели. В корпоративной среде простои веб-портала оборачиваются прямыми финансовыми потерями.
Разработчики уже выпустили исправление. Соответствующая рекомендация опубликована на официальном портале проекта. Администраторам настоятельно советуют как можно скорее обновить ядро системы до актуальных сборок.
Как показывает практика, многие владельцы сайтов пренебрегают своевременным патчингом. Это превращает их ресурсы в лёгкую добычу. Drupal является одной из трёх самых распространённых систем управления контентом в мире наряду с WordPress и Joomla. Поэтому даже небольшая доля необновлённых инсталляций составит десятки тысяч уязвимых узлов. Компаниям, использующим стороннюю техподдержку или обслуживание провайдерами хостинга, стоит незамедлительно связаться с ответственными специалистами. Важно убедиться, что патч применён не только на основном сервере, но и на тестовых и staging-окружениях.
Примечательно, что уязвимость затрагивает сразу четыре активные ветки продукта. Это указывает на фундаментальный характер ошибки в ядре. Возможно, проблема существовала на протяжении нескольких лет. Точная дата выявления - 15 апреля 2026 года. Сейчас статус уязвимости подтверждён производителем, а способ устранения известен. В ближайшие дни эксперты будут внимательно следить за попытками обратной разработки патча. Как правило, после выхода обновления злоумышленники изучают внесённые изменения и пытаются понять, как атаковать незащищённые системы.
Ссылки
- https://bdu.fstec.ru/vul/2026-07320
- https://www.cve.org/CVERecord?id=CVE-2026-6366
- https://www.drupal.org/sa-core-2026-002
