CVE-2026-9082

Суть уязвимости

Уязвимость CVE-2026-9082 представляет собой критический недостаток типа SQL Injection в механизме Database Abstraction API системы Drupal Core. Проблема возникает из-за некорректной санитации входных данных при формировании сложных запросов к базе данных. Злоумышленник может отправить специально сформированный запрос, который позволяет внедрить произвольный SQL-код. Успешная эксплуатация ведет к повышению привилегий до уровня администратора и возможности выполнения произвольного кода (RCE) на сервере через манипуляцию конфигурацией системы или сессиями пользователей.

Как исправить

Основным способом устранения является обновление ядра Drupal до актуальной версии, в которой исправлена логика обработки плейсхолдеров в API базы данных.

Проверьте текущую версию Drupal:

drush status --format=list

Выполните обновление с помощью Composer:

composer update drupal/core-recommended --with-dependencies

Примените обновления базы данных:

drush updatedb

Очистите кэш системы:

drush cache-rebuild

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

Настройте правила Web Application Firewall (WAF) для блокировки подозрительных SQL-конструкций (UNION, SELECT, SLEEP) в GET и POST запросах.

Ограничьте права пользователя базы данных, под которым работает Drupal, запретив выполнение опасных операций (DROP, TRUNCATE, FILE).

Включите режим обслуживания для снижения поверхности атаки на время проведения работ:

drush state:set system.maintenance_mode 1

Запретите доступ к файлу cron.php и системным скриптам для неавторизованных IP-адресов через конфигурацию .htaccess или Nginx.