Drupal修補重大SQL注入資安漏洞,並破例為已停止支援版本發布更新
來源: iThome | URL: https://www.ithome.com.tw/news/176009 | 日期: 2026-05-21
漏洞概要
| 項目 | 詳情 |
|---|---|
| CVE編號 | CVE-2026-9082 |
| 類型 | SQL 注入 |
| Drupal 評級 | 20/25(Highly Critical 超重大) |
| 影響版本 | Drupal 8.9.0 以上 |
| 影響條件 | 搭配 PostgreSQL 資料庫的網站 |
| 攻擊者要求 | 僅需匿名使用者即可利用 |
漏洞影響
- 資訊洩露、權限提升、遠端任意程式碼執行(RCE)
- 漏洞位於 Drupal Core 的資料庫抽象 API
修補措施
- 正式修補版本於 UTC 2026-05-20 17:00–21:00 發布
- 破例為已停止支援版本發布更新:
- 11.1、10.4 → 正式更新
- 8.9、9.5 → 手動修補程式
- 同步修補 Symfony 與 Twig(影響所有 Drupal 網站)
特殊性
破例為終止支援版本發布更新,屬罕見案例,顯示漏洞嚴重程度極高。