Drupal重大SQL注入漏洞CVE-2026-9082破例為EOL版本發布更新
漏洞概要
| 項目 | 詳情 |
|---|---|
| CVE編號 | CVE-2026-9082 |
| 類型 | SQL 注入 |
| Drupal 評級 | 20/25(Highly Critical) |
| 影響版本 | Drupal 8.9.0 以上(搭配 PostgreSQL) |
| 攻擊者要求 | 匿名使用者即可利用 |
技術細節
漏洞位於 Drupal Core 的資料庫抽象 API(本為防範 SQL 注入而設計),可導致:
- 資訊洩露
- 權限提升
- 遠端任意程式碼執行(RCE)
Symfony 與 Twig 同步修補(影響所有 Drupal 網站,非僅 PostgreSQL)。
修補措施
- 2026-05-20 UTC 17:00–21:00 發布修補
- 11.1、10.4 → 正式更新
- 8.9、9.5(EOL版本)→ 手動修補程式(罕見破例)
- 開發團隊提前兩天(2026-05-18)預告,警示利用工具可能迅速出現
特殊性
破例為已終止支援版本發布安全更新,屬極為罕見案例。
CISA KEV 收錄(2026-05-24 更新)
- 2026-05-22:CISA 正式將 CVE-2026-9082 加入已遭利用漏洞清單(KEV)
- 野外利用:修補兩天後即發現實際攻擊跡象
- CVSS 評分:9.8 / 10(極高危)
- 聯邦機構截止修補日:2026-05-27
來源文章
- ithome-2026-05-21-drupal-sql-injection-cve-2026-9082-176009 — 原始來源
- ithome-2026-05-24-cisa-drupal-sql-injection-kev-176073 — CISA KEV 收錄報導(2026-05-24)
相關頁面
- PostgreSQL安全更新修補11項漏洞2026 — 同受影響資料庫 PostgreSQL
- Ivanti EPM高風險漏洞修補CVE-2026-8111 SQL注入RCE — 同類型SQL注入RCE漏洞
- cisa — CISA 機構頁面(KEV 收錄、修補截止)