Drupal memperingatkan bahwa peretas mencoba mengeksploitasi kerentanan injeksi SQL “sangat kritis” yang diumumkan awal pekan ini.
Proyek sistem manajemen konten (CMS). menerbitkan PSA pada tanggal 18 Mei, mendesak administrator untuk menyediakan waktu untuk pembaruan inti yang mengatasi masalah yang mungkin mulai dieksploitasi oleh pelaku ancaman “dalam beberapa jam atau hari.”
Cacat tersebut sekarang dilacak sebagai CVE-2026-9082 dan ditemukan oleh peneliti Google/Mandiant Michael Maturi. Ini mempengaruhi API abstraksi database Drupal. Ini memungkinkan permintaan yang dibuat khusus untuk memicu injeksi SQL sewenang-wenang di situs yang menggunakan PostgreSQL.
Injeksi SQL adalah kelemahan di mana penyerang menyuntikkan perintah SQL berbahaya ke dalam kueri basis data melalui kolom input pengguna atau dialog di situs web, yang mengakibatkan akses tidak sah, modifikasi, atau penghapusan data basis data.
Cacat ini dapat dieksploitasi tanpa autentikasi dan dapat mengakibatkan eksekusi kode jarak jauh, peningkatan hak istimewa, dan pengungkapan informasi.
Dalam pembaruan penasehatannya pada tanggal 22 Mei, Drupal mengkonfirmasi bahwa upaya eksploitasi telah terdeteksi.
“Skor risiko telah diperbarui untuk mencerminkan bahwa upaya eksploitasi kini terdeteksi di alam liar,” membaca nasihat yang diperbarui.
Drupal menilai kerentanan ini sebagai “sangat kritis” dan memberikan skor internal sebesar 23 dari 25. Namun, NIST telah menilainya sebagai “keparahan sedang” berdasarkan skor CVSS v3 sebesar 6,5.
Dampak dan rekomendasi
CVE-2026-9082 berdampak pada berbagai versi Drupal, termasuk:
- Drupal 8.9.x
- Drupal 10.4.x sebelum 10.4.10
- Drupal 10.5.x sebelum 10.5.10
- Drupal 10.6.x sebelum 10.6.9
- Drupal 11.0.x / 11.1.x sebelum 11.1.10
- Drupal 11.2.x sebelum 11.2.12
- Drupal 11.3.x sebelum 11.3.10
Pemilik dan administrator situs web disarankan untuk segera meningkatkan ke versi terbaru yang tersedia untuk cabang mereka.
Mereka yang tidak menggunakan PostgreSQL tetap disarankan untuk memperbarui, karena pembaruan keamanan terbaru juga mencakup perbaikan untuk dependensi upstream, termasuk Symfony dan Twig.
Saran tersebut menggarisbawahi bahwa Drupal 8 dan 9 sudah habis masa pakainya (EoL), dan patch diberikan berdasarkan “upaya terbaik”; namun, cabang-cabang tersebut masih mengandung kerentanan lain yang diketahui, sehingga melanjutkan penggunaannya tentu saja berisiko.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
