文章总结: Drupal发布安全补丁修复高危SQL注入漏洞CVE-2026-9082,影响运行PostgreSQL的网站,允许未授权攻击者执行任意SQL命令,可能导致信息泄露、权限升级甚至远程代码执行。补丁发布48小时内已监测到超过15000次攻击尝试,目标集中于美国、新加坡、澳大利亚的博彩与金融网站。建议PostgreSQL用户立即更新,管理员应检查日志异常。 综合评分: 86 文章分类: 漏洞预警,漏洞分析,威胁情报,应急响应,网络安全
CVE-2026-9082:Drupal的高危SQL注入漏洞已遭活跃攻击
会杀毒的单反狗 会杀毒的单反狗
爱拍照的老李
2026年5月24日 09:00 湖北
在小说阅读器读本章
去阅读
导读
攻击者在补丁发布后的48小时内就开始利用Drupal SQL注入漏洞CVE-2026-9082。Drupal于5月20日针对CVE-2026-9082发布了一个高度严重的安全补丁,该漏洞是一个SQL注入漏洞,允许未授权攻击者入侵运行PostgreSQL数据库的网站。
Drupal 于 5 月 20 日发布了一项高度关键的安全补丁,修复 CVE-2026-9082 这个 SQL 注入漏洞,漏洞允许未经认证的攻击者攻破运行 PostgreSQL 数据库的网站。
项目维护者在发布前就警告说,漏洞利用可能在数小时甚至数天内曝光。这个预测很准确:漏洞利用尝试几乎立刻开始,48小时内,安全公司追踪了数千起真实攻击。
该漏洞存在于一个设计用于净化数据库查询并防止SQL注入的API中。该API存在一个缺陷,意味着攻击者可以通过PostgreSQL发送专门设计的请求,并在网站上注入任意SQL命令。
正如Drupal在其建议中所说:“该API中的一个漏洞允许攻击者发送专门设计的请求,导致使用PostgreSQL数据库的网站任意注入SQL。这可能导致信息泄露,在某些情况下还会导致权限升级、远程代码执行或其他攻击。这个漏洞可能会被匿名用户利用。”
结果可能涵盖信息泄露、权限升级,以及某些配置中的远程代码执行。
并非所有Drupal网站都受到影响,这个漏洞只影响那些作为数据库后端运行PostgreSQL的网站,Drupal估计这占所有安装的不到5%。
考虑到Drupal支持全球数十万个网站,其中许多位于政府、高等教育、媒体和企业环境中,这仍然意味着成千上万个潜在易受攻击的网站。
Imperva研究人员发布了数据,展示了攻击者行动的速度。该安全公司报告称,披露后两天内,发现针对65个国家近6000个站点的超过15,000次利用尝试。
近一半的攻击针对的是游戏和金融服务网站,这些领域既有凭证盗窃,也方便金融数据访问,能够立即实现变现。
“自CVE-2026-9082发布以来,Imperva已观察到超过15,000次攻击尝试,目标涵盖65个国家近6,000个独立站点。迄今为止,攻击主要针对博彩和金融服务网站,合计占所有攻击的近50%。Imperva说道:“这一模式表明攻击者和扫描器主要试图识别运行易受攻击的 PostgreSQL 支持配置的暴露 Drupal 站点。虽然目前活动以侦察和验证为主,但漏洞的性质意味着成功利用可能迅速从探查转向数据提取或权限升级。”
主要目标国家是美国(61.8%)、新加坡(6.6%)和澳大利亚(6.3%)。
Imperva观察到的模式是:广泛侦察,随后选择性利用,这正是这些行动通常的展开方式。目前的阶段是映射。下一阶段是收获。领先于这一转变的窗口非常狭窄且不断缩小。
对于在PostgreSQL上运行Drupal网站的管理员来说,操作很简单:立即应用补丁。对于运行MySQL或MariaDB的用户来说,这个漏洞不适用,但核实网站使用的是哪个数据库后端,而不是假设。对于尚未修补且在日志中发现异常数据库查询模式或认证失败的管理人员来说,值得将其视为潜在敌对行为并迅速调查。
Drupal上一次被积极利用这一高度关键漏洞是在2019年,当时补丁上线几天内就出现了远程代码执行的漏洞。
在此之前,被称为Drupalgeddon和Drupalgeddon2的漏洞因被大规模武器化而成为头条新闻,威胁数万个网站。
官方漏洞公告:
https://www.drupal.org/sa-core-2026-004
漏洞利用报告:
https://www.imperva.com/blog/imperva-customers-protected-against-cve-2026-9082-in-drupal-core/
新闻链接:
CVE-2026-9082: Drupal’s Highly Critical SQL Injection Flaw Is Already Under Active Attack
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《CVE-2026-9082:Drupal的高危SQL注入漏洞已遭活跃攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论