Критический баг в Drupal может привести к удаленному выполнению кода - «Новости»

  • 14:30, 24-мая-2026
  • Новости / Сайтостроение / Преимущества стилей / Отступы и поля / Добавления стилей / Вёрстка
  • Злата
  • 0

Разработчики Drupal выпустили экстренные патчи для «высококритичной» уязвимости в Drupal Core, которая затрагивает сайты, использующие PostgreSQL. Проблема получила идентификатор CVE-2026-9082 и связана с SQL-инъекцией, которая в некоторых сценариях может привести к удаленному выполнению кода.


Речь идет о баге в API абстракции БД Drupal. Этот механизм используется для проверки и очистки запросов, чтобы защитить CMS от SQL-инъекций. Однако ошибка в работе API позволяла отправлять специально сформированные запросы и выполнять произвольные SQL-запросы на сайтах с PostgreSQL.


Разработчики пишут, что в худшем случае это грозит раскрытием данных, повышением привилегий и даже удаленным выполнением кода. При этом уязвимость может эксплуатироваться анонимно — для атаки не требуется учетная запись.


Исправления уже доступны для следующих веток:



  • Drupal 11.3.10;

  • Drupal 11.2.12;

  • Drupal 11.1.10;

  • Drupal 10.6.9;

  • Drupal 10.5.10;

  • Drupal 10.4.10.


Разработчики отдельно подчеркивают, что Drupal 7 этой проблеме не подвержен. Кроме того, свежие релизы для поддерживаемых веток включают обновления Symfony и Twig, поэтому администраторам рекомендуют как можно скорее установить последние версии.


Хотя Drupal 8 и Drupal 9 уже не поддерживаются, для них тоже подготовили best-effort-патчи: Drupal 9.5 и Drupal 8.9.


Правда, такие исправления придется устанавливать вручную, и разработчики прямо предупреждают: старые ветки остаются уязвимыми перед другими ранее раскрытыми багами.


Также представители проекта подчеркнули, что Drupal 11.1.x, 11.0.x, 10.4.x и более старые версии более не получают полноценной поддержки. Поэтому владельцам сайтов на устаревших версиях советуют не ограничиваться временными патчами и как можно быстрее переходить на актуальные ветки Drupal 11.3 или 10.6.


Напомним, еще до публикации деталей проблемы разработчики Drupal выпустили редкое предварительное предупреждение о грядущем обновлении и посоветовали администраторам заранее подготовиться к срочному патчингу. Тогда отмечалось, что рабочие эксплоиты для бага могут появиться «в течение часов или дней» после раскрытия информации.


Следует отметить, что пометка «highly critical» практически не появлялась в бюллетенях безопасности Drupal в последние годы. На этом фоне многие сразу вспомнили о Drupalgeddon (CVE-2014-3704, SQL-инъекция) и Drupalgeddon2 — уязвимостях прошлых лет, которые злоумышленники массово эксплуатировали для взлома сайтов по всему миру.


Разработчики Drupal выпустили экстренные патчи для «высококритичной» уязвимости в Drupal Core, которая затрагивает сайты, использующие PostgreSQL. Проблема получила идентификатор CVE-2026-9082 и связана с SQL-инъекцией, которая в некоторых сценариях может привести к удаленному выполнению кода. Речь идет о баге в API абстракции БД Drupal. Этот механизм используется для проверки и очистки запросов, чтобы защитить CMS от SQL-инъекций. Однако ошибка в работе API позволяла отправлять специально сформированные запросы и выполнять произвольные SQL-запросы на сайтах с PostgreSQL. Разработчики пишут, что в худшем случае это грозит раскрытием данных, повышением привилегий и даже удаленным выполнением кода. При этом уязвимость может эксплуатироваться анонимно — для атаки не требуется учетная запись. Исправления уже доступны для следующих веток: Drupal 11.3.10; Drupal 11.2.12; Drupal 11.1.10; Drupal 10.6.9; Drupal 10.5.10; Drupal 10.4.10. Разработчики отдельно подчеркивают, что Drupal 7 этой проблеме не подвержен. Кроме того, свежие релизы для поддерживаемых веток включают обновления Symfony и Twig, поэтому администраторам рекомендуют как можно скорее установить последние версии. Хотя Drupal 8 и Drupal 9 уже не поддерживаются, для них тоже подготовили best-effort-патчи: Drupal 9.5 и Drupal 8.9. Правда, такие исправления придется устанавливать вручную, и разработчики прямо предупреждают: старые ветки остаются уязвимыми перед другими ранее раскрытыми багами. Также представители проекта подчеркнули, что Drupal 11.1.x, 11.0.x, 10.4.x и более старые версии более не получают полноценной поддержки. Поэтому владельцам сайтов на устаревших версиях советуют не ограничиваться временными патчами и как можно быстрее переходить на актуальные ветки Drupal 11.3 или 10.6. Напомним, еще до публикации деталей проблемы разработчики Drupal выпустили редкое предварительное предупреждение о грядущем обновлении и посоветовали администраторам заранее подготовиться к срочному патчингу. Тогда отмечалось, что рабочие эксплоиты для бага могут появиться «в течение часов или дней» после раскрытия информации. Следует отметить, что пометка «highly critical» практически не появлялась в бюллетенях безопасности Drupal в последние годы. На этом фоне многие сразу вспомнили о Drupalgeddon (CVE-2014-3704, SQL-инъекция) и Drupalgeddon2 — уязвимостях прошлых лет, которые злоумышленники массово эксплуатировали для взлома сайтов по всему миру.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Другие новости

Рекомендуем

Комментарии (0)



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!

Похожие новости дня

Видео уроки

F6: группировка SiribClone атакует российских ...

Атака, нацеленная на игроков Minecraft, привела к ...

MEGANews. Cамые важные события в мире инфосека за ...

ФБР: вымогатели могут лично приходить в офисы ...

Популярное


✔ Новости мира Интернет

ВАША РЕКЛАМА
ДОБАВИТЬ БАННЕР
      

Разное но интересное


ASML стала самой дорогой компанией в истории Европы — капитализация достигла..

Нидерландская ASML, являющаяся крупнейшим в мире поставщиком литографических сканеров для производства чипов, на этой неделе стала самой дорогой компанией за всю историю Европы. По состоянию на 3...