Drupal重大SQL注入漏洞CVE-2026-9082破例為EOL版本發布更新

漏洞概要

項目詳情
CVE編號CVE-2026-9082
類型SQL 注入
Drupal 評級20/25(Highly Critical)
影響版本Drupal 8.9.0 以上(搭配 PostgreSQL)
攻擊者要求匿名使用者即可利用

技術細節

漏洞位於 Drupal Core 的資料庫抽象 API(本為防範 SQL 注入而設計),可導致:

  • 資訊洩露
  • 權限提升
  • 遠端任意程式碼執行(RCE)

Symfony 與 Twig 同步修補(影響所有 Drupal 網站,非僅 PostgreSQL)。

修補措施

  • 2026-05-20 UTC 17:00–21:00 發布修補
  • 11.1、10.4 → 正式更新
  • 8.9、9.5(EOL版本)→ 手動修補程式(罕見破例)
  • 開發團隊提前兩天(2026-05-18)預告,警示利用工具可能迅速出現

特殊性

破例為已終止支援版本發布安全更新,屬極為罕見案例。

CISA KEV 收錄(2026-05-24 更新)

  • 2026-05-22:CISA 正式將 CVE-2026-9082 加入已遭利用漏洞清單(KEV)
  • 野外利用:修補兩天後即發現實際攻擊跡象
  • CVSS 評分:9.8 / 10(極高危)
  • 聯邦機構截止修補日:2026-05-27

來源文章

相關頁面