Управление кибербезопасности и инфраструктуры США (CISA) внесло недавно исправленную критическую уязвимость, затрагивающую ядро Drupal, в свой каталог известных эксплуатируемых уязвимостей (KEV). Это решение было принято на основании доказательств активной эксплуатации данной уязвимости. Речь идет о CVE-2026-9082, уязвимости SQL-инъекции, которая затрагивает все поддерживаемые версии ядра Drupal и имеет оценку CVSS 6.5.

Уязвимость позволяет злоумышленникам выполнять произвольные SQL-запросы в базе данных сайта, что может привести к утечке конфиденциальной информации или полному контролю над системой. Эксперты по безопасности настоятельно рекомендуют пользователям и администраторам сайтов на базе Drupal обновить свои системы до последних версий, чтобы избежать возможных атак.

CISA также призывает организации, использующие Drupal, внимательно следить за своей инфраструктурой и применять все необходимые меры для защиты от потенциальных угроз. Учитывая, что уязвимость уже активно эксплуатируется, время на обновление ограничено.

Разработчики Drupal выпустили патч, который закрывает эту уязвимость, и рекомендуют всем пользователям немедленно установить обновления. Это предупреждение актуально для всех версий, которые еще находятся в поддержке.

Специалисты по кибербезопасности советуют не игнорировать обновления и регулярно проверять свои системы на наличие уязвимостей. Применение лучших практик безопасности может значительно снизить риски, связанные с подобными угрозами.

Источник новости:
The Hacker News

Читать полностью