CISA 警告 Drupal 核心 SQL 注入漏洞在攻击中被利用

美国网络安全和基础设施安全局（CISA）发布紧急警报，关于Drupal核心中一个关键的SQL注入漏洞，该漏洞被追踪为CVE-2026-9082，目前正在实际攻击中被积极利用。

该漏洞被归类为CWE-89，影响Drupal的数据库抽象API，并可能允许攻击者通过特殊定制的请求执行恶意SQL查询。

根据美国网络安全和基础设施安全局（CISA）的说法，成功利用此漏洞可能导致权限提升，在严重情况下甚至可能导致远程代码执行（RCE）。

这使得对于依赖Drupal进行内容管理的组织来说，该问题尤其危险，特别是那些将Web应用程序暴露在公共互联网上的组织。

该漏洞于2026年5月22日正式被列入CISA的已知漏洞利用目录 (KEV)，表明存在确认的利用活动。

根据约束性运营指令 (BOD) 22-01，联邦机构和组织必须在2026年5月27日之前解决该问题。

Drupal核心SQL注入漏洞

该漏洞存在于Drupal Core通过其抽象层处理数据库查询的地方。

输入验证不当允许攻击者注入恶意SQL语句，可能绕过身份验证控制或操纵后端数据库操作。

主要风险包括：

• 未经授权访问存储在Drupal数据库中的敏感数据。
  
• 从低级用户账户提升到管理员控制。
  
• 在某些配置下，在底层服务器上执行任意代码。
  

因为Drupal驱动着大量企业和政府网站，大规模利用可能产生广泛影响。

虽然CISA尚未确认此漏洞是否当前正被用于勒索软件活动中，但SQL注入漏洞的性质使其成为初始访问中介和威胁行为者的常见入口点。

攻击者可以利用此漏洞获得立足点，部署web shell，或进一步深入网络。

安全研究人员警告说，公开暴露的Drupal实例面临最高风险，特别是那些运行过时或未打补丁的Drupal Core版本。

CISA强烈敦促组织立即采取行动以降低风险。建议的步骤包括：

• 立即应用Drupal项目提供的安全补丁。
  
• 审查并遵循特定供应商的缓解指南。
  
• 监控Web服务器日志，查找可疑或异常的SQL查询模式。
  
• 实施 Web 应用程序防火墙 (WAF)，以检测和阻止注入尝试。
  
• 遵循BOD 22-01指南用于云托管环境。
  

如果修补不可行，组织应考虑暂时关闭受影响的服务，直到缓解措施到位。

CVE-2026-9082的活跃利用凸显了广泛使用的平台（如Drupal）中SQL注入漏洞带来的持续风险。

组织必须优先修补并主动监控，以防御潜在的入侵。

在CISA设定的紧迫整改截止日期下，立即采取行动以降低风险并防止潜在漏洞至关重要。