Drupal修補重大SQL注入資安漏洞,並破例為已停止支援版本發布更新

來源: iThome | URL: https://www.ithome.com.tw/news/176009 | 日期: 2026-05-21

漏洞概要

項目詳情
CVE編號CVE-2026-9082
類型SQL 注入
Drupal 評級20/25(Highly Critical 超重大)
影響版本Drupal 8.9.0 以上
影響條件搭配 PostgreSQL 資料庫的網站
攻擊者要求僅需匿名使用者即可利用

漏洞影響

  • 資訊洩露、權限提升、遠端任意程式碼執行(RCE)
  • 漏洞位於 Drupal Core 的資料庫抽象 API

修補措施

  • 正式修補版本於 UTC 2026-05-20 17:00–21:00 發布
  • 破例為已停止支援版本發布更新:
    • 11.1、10.4 → 正式更新
    • 8.9、9.5 → 手動修補程式
  • 同步修補 Symfony 與 Twig(影響所有 Drupal 網站)

特殊性

破例為終止支援版本發布更新,屬罕見案例,顯示漏洞嚴重程度極高。

衍生頁面