Стежити 
Drupal випустив оновлення безпеки для “дуже критичної” уразливості в Drupal Core, яку можуть експлуатувати анонімні атакуючі на сайтах, що використовують бази даних PostgreSQL. Відстежується як уразливість CVE-2026-9082, проблема знаходиться в API абстракції бази даних Drupal, яке повинно очищати запити перед тим, як вони дійдуть до бекендної бази даних. Drupal оцінює помилку на 20/25 за власною шкалою серйозності, в той час як The Hacker News зазначає, що CVE.org оцінює її на 6,5/10.
Для захисників, які починають аналіз CVE-2026-9082, ключовий ризик полягає в тому, що спеціально сформовані запити можуть призвести до довільної SQL-ін’єкції на сайтах з підтримкою PostgreSQL, що в свою чергу може викликати розкриття інформації і, у деяких випадках, підвищення привілеїв або виконання віддаленого коду. Drupal також заявляє, що помилку можуть експлуатувати анонімні користувачі, роблячи відкриті сайти пріоритетом для виправлення.
Поточні деталі CVE-2026-9082 також важливі, оскільки обсяг вужчий, ніж загальний заголовок “всі сайти Drupal”. Попередження Drupal каже, що проблема SQL-ін’єкції стосується тільки сайтів, що використовують PostgreSQL, але ті ж оновлення безпеки включають важливі виправлення для Symfony і Twig, саме тому навіть нелюдські розгортання PostgreSQL все одно рекомендовано оновити.
Аналіз CVE-2026-9082
На технічному рівні CVE-2026-9082 це помилка в API абстракції бази даних, яка зазвичай перевіряє і очищає запити, щоб запобігти SQL-ін’єкції. Drupal стверджує, що атакуючий може надіслати спеціально підготовлені запити, які обходять очікуваний захист і доставляють довільний SQL до бекенда PostgreSQL. У практичному плані, CVE-2026-9082 – це шкідливий запит, підготовлений для зловживання обробкою запитів, а не скидання виконуваного файлу чи скрипта на диск.
Така помилка дизайну призводить до того, що CVE-2026-9082 впливає на конфіденційність і цілісність в першу чергу, але може також збільшитися в залежності від конфігурації сайту. Відомості з повідомлень вказують, що успішна експлуатація може розкрити конфіденційні дані, підвищити привілеї і в деяких середовищах навіть дозволити виконання віддаленого коду. Cyber Press додає, що атака не потребує аутентифікації, що підвищує ризик для сайтів, які виставлені в інтернеті, що працюють на вразливих гілках Drupal Core з PostgreSQL.
З операційної точки зору, виявлення CVE-2026-9082 швидше покладається на інвентаризацію версій і баз даних, ніж на стабільний набір сигнатур. Публічне повідомлення і два звіти не публікують відкритий POC CVE-2026-9082 чи конкретні IOC для CVE-2026-9082, тому захисники повинні сконцентруватись на виявленні вразливих гілок Drupal, підтвердженні використання PostgreSQL і перевірці підозрілої активності запитів навколо кінцевих точок, керованих базою даних.
Пом’якшення CVE-2026-9082
Основне пом’якшення CVE-2026-9082 – це встановлення останнього випуску Drupal для уразливої гілки. Повідомлення Drupal перераховує виправлені версії як 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 та 10.4.10. Для гілок, які не підтримуються, але ще широко розгорнуті, Drupal також опублікував найкращі ручні патчі для Drupal 9.5 і Drupal 8.9, попереджаючи, що ті релізи з завершеною підтримкою можуть ще містити інші раніше розкриті проблеми безпеки.
Щоб виявити експозицію CVE-2026-9082 на практиці, організації спершу повинні проінвентаризувати кожну установку Drupal, співставити кожен сайт зі своєю точною версією і перевірити, чи використовується бекенд-база даних PostgreSQL. Цей крок є критичним, тому що шлях SQL-ін’єкції специфічний для PostgreSQL, але пакети оновлень фреймворку все одно роблять важливим виправлення для всіх підтримуваних гілок.
Де негайне виправлення затримується, команди повинні пріоритизувати сайти, що приймають анонімний трафік, і перевірити функціональність, яка інтенсивно працює з базою даних, на наявність ненормальних шаблонів запитів. Оскільки наведені матеріали не містять телеметрії експлуатації чи публічних правил виявлення, найбільш надійною короткостроковою стратегією є агресивне виправлення, перевірка гілок і перегляд будь-яких ролей або додаткових модулів, які дозволяють оновлення шаблонів Twig.
FAQ
Що таке CVE-2026-9082 і як це працює?
CVE-2026-9082 – це уразливість SQL-ін’єкції в Drupal Core в API абстракції бази даних. Це працює, дозволяючи спеціально сформованим запитам обходити очікувану логіку очищення запитів і виконувати довільний SQL проти сайтів Drupal з підтримкою PostgreSQL.
Коли CVE-2026-9082 було вперше виявлено?
Публічні джерела не розкривають приватну дату виявлення, але Drupal опублікував SA-CORE-2026-004 20 травня 2026 року і визнає заслуги Майкла Матурі у звітуванні про цю проблему.
Який вплив CVE-2026-9082 на системи?
Основний вплив – довільна SQL-ін’єкція на сайтах з підтримкою PostgreSQL, що може призвести до розкриття інформації і, у деяких випадках, підвищення привілеїв, віддаленого виконання коду або інших атак. Drupal також стверджує, що цю проблему можуть експлуатувати анонімні користувачі.
Чи може CVE-2026-9082 ще впливати на мене в 2026 році?
Так. Сайти можуть ще залишатися нараженими в 2026 році, якщо вони залишаються на вразливих версіях Drupal Core і використовують PostgreSQL як бекенд-базу даних. Непідтримувані розгортання Drupal 8 і 9 можуть бути під більшою загрозою, оскільки вони більше не отримують нормального забезпечення безпеки.
Як я можу захистити себе від CVE-2026-9082?
Оновіть до останнього випуску Drupal для вашої гілки, підтвердіть, чи використовується PostgreSQL, застосовуйте найкращі зусилля патчі, якщо ви все ще на Drupal 8.9 чи 9.5, і пріоритет уразливі сайти для негайного виправлення. Рекомендовано також оновлення для сайтів без PostgreSQL, адже той же випуск включає виправлення безпеки Symfony та Twig.
