Drupal 漏洞在披露后不久即成为黑客攻击目标

Drupal 警告用户，针对本周修复的高危漏洞 CVE-2026-9082，已经出现了利用尝试。

该漏洞影响一个旨在确保数据库查询经过清理以防止 SQL 注入 的 API。

Drupal 解释道：“该 API 中的漏洞允许攻击者发送特制请求，导致使用 PostgreSQL 数据库的网站遭受任意 SQL 注入。”

未经身份验证的攻击者可利用此缺陷获取信息，在某些情况下还可进行权限提升和远程代码执行（RCE）。

Drupal 预测，针对 CVE-2026-9082 的利用代码可能在披露后数小时或数天内被制造出来，因此在该补丁于5月20日发布之前就已向用户发出警报。

该 CMS 为数十万个网站提供支持，但此安全漏洞仅影响使用 PostgreSQL 的网站，Drupal 认为受影响比例不到 5%。

然而，CVE-2026-9082 的安全公告已于3月22日更新，告知用户风险评分已从 20 分上调至 23 分，“以反映现已在野外检测到利用尝试”。值得注意的是，Drupal 采用 NIST CMSS 评分系统对漏洞进行评级，最高风险等级为 25 分。

Imperva 报告称，观测到超过 15,000 次利用尝试，针对分布在 65 个国家的近 6,000 个网站。几乎一半的攻击目标是游戏和金融服务网站。

该安全公司警告道：“这一模式表明，攻击者和扫描器主要试图识别暴露在外、运行易受攻击的 PostgreSQL 后端配置的 Drupal 网站。虽然目前的活动主要以侦察和验证为主，但鉴于该漏洞的性质，成功的利用可能迅速从探测转向数据提取或权限提升。”

多年来，Drupal 尚未修补过“高危”漏洞，自 2019 年以来也没有关于新 Drupal 漏洞在野外被利用的报告。

在 2019 年之前，被称为 Drupalgeddon 和 Drupalgeddon2 的漏洞曾因被利用来入侵众多网站而登上头条新闻。