Kritická zraniteľnosť Drupal umožňuje injektovať príkazy SQL

Vývojári platformy Drupal vydali opravné aktualizácie pre zraniteľnosť, ktorú označili ako vysoko kritickú. Táto chyba zabezpečenia umožňuje neautorizovaným vzdialeným útočníkom zasielať špeciálne vytvorené požiadavky, ktoré zneužívajú nevhodnú sanitizáciu a umožňujú injektovať príkazy SQL.

Zraniteľné systémy:

• Drupal Core verzie 8.9.0 staršie ako 10.4.10
• Drupal Core verzie 10.5.0 staršie ako 10.5.10
• Drupal Core verzie 10.6.0 staršie ako 10.6.9
• Drupal Core verzie 11.0.0 staršie ako 11.1.10
• Drupal Core verzie 11.2.0 staršie ako 11.2.12
• Drupal Core verzie 11.3.0 staršie ako 11.3.10

Pozn.: zraniteľné sú iba webové stránky, ktoré používajú databázy PostgreSQL. Vydané opravné aktualizácie však opravujú aj iné chyby zabezpečenia, ktoré ovplyvňujú aj používateľov odlišných databáz.

Opis činnosti:

CVE-2026-9082 (CVSS skóre 6,5)

Vývojári platformy Drupal opravili zraniteľnosť v jej jadre (Drupal core), konkrétne v API pre narábanie s databázou, ktoré ju má chrániť pre injektovaním príkazov SQL. Chyba zabezpečenia súvisí s nevhodnou neutralizáciou špeciálnych znakov v používateľských vstupoch, čo práve umožňuje vzdialeným neautorizovaným útočníkom vykonávať útoky typu SQL injection pomocou špeciálne vytvorených požiadaviek. To môže viesť v závislosti od špecifických podmienok cieľovej webovej stránky k úniku informácií, možnosti vzdialene vykonávať kód, či k navýšeniu oprávnení útočníka.

Zraniteľnosť zasahuje webové stránky, ktoré používajú databázy PostgreSQL. Vývojári však upozorňujú, že vydané opravné aktualizácie opravujú aj iné chyby zabezpečenia, ktoré ovplyvňujú aj používateľov odlišných databáz.

Aj keď zraniteľnosť dostala CVSS skóre 6,5 (stredná úroveň závažnosti), spoločnosť Drupal ju označila ako vysoko kritickú.

Možné škody:

• Únik citlivých informácií
• Eskalácia oprávnení
• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Drupal aspoň na verziu 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12, alebo 11.3.10.

Vývojári Drupal vydali aktualizácia aj pre nepodporované verzie 8.9 a 9.5. Tieto je potrebné nasadiť manuálne.

Odkazy:

• https://www.drupal.org/sa-core-2026-004
• https://nvd.nist.gov/vuln/detail/CVE-2026-9082
• https://thehackernews.com/2026/05/highly-critical-drupal-core-flaw.html