Krytyczna podatność w Drupal core
Zespół CERT Polska informuje o krytycznej podatności w systemie Drupal.
Producent zapowiedział publikację poprawki bezpieczeństwa dla komponentu Drupal core w dniu 20 maja w godzinach 19:00 - 23:00 (CEST). Zalecane jest zarezerwowanie czasu na aktualizację w tym przedziale, ponieważ podatność może zostać wykorzystana w bardzo krótkim czasie - nawet w ciągu kilku godzin od ujawnienia szczegółów.
Aktualizacja
Krytyczna podatność, oznaczona jako CVE-2026-9082, pozwala atakującym na wykonywanie dowolnych zapytań SQL do bazy danych (SQL Injection), co może prowadzić do zdalnego wykonywania kodu (RCE). Podatność dotyczy wyłącznie stron korzystających z silnika PostgreSQL. Producent poinformował, że jest ona aktywnie wykorzystywana przez atakujących.
Podatność dotyczy następujących wersji:
8.9.0 do 10.4.9
10.5.0 do 10.5.9
10.6.0 do 10.6.8
11.0.0 do 11.1.9
11.2.0 do 11.2.11
11.3.0 do 11.3.9
Rekomendujemy niezwłoczną aktualizację oprogramowania do najnowszej wersji. W przypadku wykorzystywania wersji 8.9 lub 9 należy ręcznie wdrożyć poprawkę dostępną na stronie producenta. Zalecana jest jednak migracja do wspieranych wersji, gdyż starsze gałęzie nie otrzymują już regularnych aktualizacji bezpieczeństwa.
Szczegółowe informacje oraz wytyczne dotyczące aktualizacji znajdują się w komunikacie producenta: https://www.drupal.org/sa-core-2026-004.