Drupal upozorava na pokušaje iskorištavanja kritične ranjivosti CVE-2026-9082

Drupal upozorava korisnike da već vidi pokušaje iskorištavanja ranjivosti CVE-2026-9082, a sigurnosne tvrtke bilježe napade na tisuće internetskih stranica. Riječ je o vrlo kritičnom propustu koji je zakrpljen ovoga tjedna, nakon što je otkriven problem u API-ju koji služi za provjeru i sanitizaciju upita prema bazi podataka kako bi se spriječio SQL injection.

Drupal navodi da ranjivost omogućuje napadaču slanje posebno oblikovanih zahtjeva, što može rezultirati proizvoljnim SQL injectionom na stranicama koje koriste PostgreSQL baze podataka. Prema opisu, neautentificirani napadači mogu iskoristiti propust za dobivanje informacija, a u nekim slučajevima i za eskalaciju privilegija te udaljeno izvršavanje koda. Drupal je prije objave zakrpe 20. svibnja upozorio da bi se exploit za CVE-2026-9082 mogao pojaviti unutar sati ili dana od objave.

U ažuriranju savjeta za sigurnost od 22. ožujka navedeno je da je rizik podignut s 20 na 23 kako bi odrazio činjenicu da se pokušaji iskorištavanja sada otkrivaju u stvarnom okruženju. Drupal pritom koristi NIST-ov CMSS sustav bodovanja ranjivosti, a najveća moguća ocjena iznosi 25. Tvrtka također procjenjuje da je pogođeno manje od 5 posto instalacija, budući da problem utječe samo na stranice koje koriste PostgreSQL.

Imperva je prijavila više od 15.000 pokušaja iskorištavanja usmjerenih na gotovo 6.000 stranica u 65 država. Gotovo polovica napada bila je usmjerena na stranice iz sektora igara i financijskih usluga. Tvrtka navodi da obrazac sugerira kako napadači i skeneri prvenstveno pokušavaju prepoznati izložene Drupal stranice s ranjivim PostgreSQL konfiguracijama, dok je trenutačna aktivnost uglavnom usmjerena na izviđanje i provjeru. Imperva dodaje da bi uspješno iskorištavanje moglo brzo prijeći iz faze probe u izvlačenje podataka ili eskalaciju privilegija.

SecurityWeek navodi i da ranjivosti visokog stupnja ozbiljnosti u Drupalu nisu zakrpane godinama te da nije bilo izvješća o novim Drupal ranjivostima koje su se iskorištavale u stvarnom okruženju od 2019. Prije toga, propusti poznati kao Drupalgeddon i Drupalgeddon2 bili su povezani s kompromitiranjem velikog broja internetskih stranica.