Администраторы платформы управления контентом с открытым исходным кодом Drupal спешно устанавливают экстренный патч, выпущенный сегодня, для устранения «критически важной» уязвимости SQL-инъекции в ядре приложения.
Хотя уязвимость затрагивает только веб-сайты, использующие базу данных PostgreSQL, могут возникнуть вышестоящие проблемы с Symfony, набором PHP-пакетов и фреймворков для веб-приложений, используемых Drupal, а также с Twig, движком шаблонов с открытым исходным кодом для языка программирования PHP. Следовательно, Twig был обновлен до версии 3.26.0, а Symfony выпустила серию уведомлений о безопасности.
В результате Drupal настоятельно рекомендует администраторам, использующим эти приложения, обновить их, независимо от того, затрагивает ли их уязвимость SQL-инъекции. К счастью, выпущенное сегодня исправление для Drupal включает обновления как для Symfony, так и для Twig.
Уязвимость в ядре Drupal, CVE-2026-9082, находится в API абстракции базы данных, который обеспечивает очистку запросов к базе данных для предотвращения атак SQL-инъекции.
В своем предупреждении Drupal сообщила, что уязвимость в этом API позволяет злоумышленнику отправлять специально сформированные запросы, что приводит к произвольной SQL-инъекции для сайтов, использующих базы данных PostgreSQL. Это может привести к раскрытию информации, а в некоторых случаях — к повышению привилегий, удаленному выполнению кода (RCE) или другим атакам.
Уязвимостью могут воспользоваться анонимные пользователи.
Администраторы Drupal знали с понедельника, что выйдет обновление безопасности ядра для всех поддерживаемых веток. Команда безопасности Drupal настоятельно рекомендовала администраторам выделить время для обновлений на 20 мая, «поскольку эксплойты могут быть разработаны в течение нескольких часов или дней».
Патчи Drupal охватывают поддерживаемые ветки 11.3, 11.2, 10.6 и 10.5. После установки патча администраторам следует обновиться до более новой версии программного обеспечения.
Версии ниже 11.1.x, 11.0.x и 10.4.x устарели (end of life) и не подлежат официальному исправлению. Однако из-за серьезности уязвимости Drupal в ближайшее время выпустит исправления для неподдерживаемых версий, предоставляемые в режиме «наилучших усилий». Пользователи любой версии Drupal 9 могут попытаться вручную применить патч для Drupal 9.5. Пользователи Drupal 8.9 могут попытаться вручную применить патч для Drupal 8.9. Но эти неподдерживаемые версии по-прежнему будут содержать другие ранее раскрытые уязвимости безопасности.
Drupal 7 не затронут.
Сайты, использующие веб-брандмауэр для веб-приложений Drupal Steward, уже защищены от известных векторов атак, но им следует обновиться в ближайшем будущем на случай обнаружения дополнительных векторов атак, сообщила компания.
«Это неприятная уязвимость», — прокомментировал Роберт Эндерл, консультант, возглавляющий Enderle Group. «Она так же плоха, как звучит».
Администраторы Drupal должны установить патч немедленно, сказал он. Обновить ядро Drupal следует незамедлительно, исходя из текущей поддерживаемой ветки. Те, кто «все еще медлит» с использованием устаревших, неподдерживаемых версий Drupal 8 или 9, должны применить предоставленные вручную патчи в режиме «наилучших усилий». Еще лучше, добавил он, им следует в приоритетном порядке перейти на современную версию Drupal как можно скорее.
«Не игнорируйте это, даже если вы не используете PostgreSQL», — подчеркнул Эндерл. «Даже если ИТ-отдел использует MySQL или SQLite и считает, что они защищены от основной ошибки [Drupal], им все равно необходимо применить обновление. Этот релиз включает критические вышестоящие исправления безопасности для зависимостей Symfony и Twig, которые затрагивают все среды».
Кроме того, сказал он, администраторам необходимо ограничить права доступа. Из-за уязвимостей в Twig ИТ-отделам необходимо провести аудит того, кто на самом деле имеет возможность обновлять шаблоны Twig через Views или другие модули, и ограничить этот доступ только доверенным администраторам.
Эндерл также настоятельно рекомендовал администраторам изучить свои логи PostgreSQL и веб-брандмауэра на предмет «любой странной активности анонимных пользователей или подозрительных SQL-запросов, предшествовавших этому патчу».
Фриц Жан-Луи, главный консультант по кибербезопасности в Info-Tech Research Group, согласился с тем, что администраторам Drupal необходимо действовать немедленно, поскольку уязвимостью может воспользоваться любой, кто обладает техническими знаниями для отправки специально сформированного запроса к базе данных Postgres, поскольку базы данных Drupal могут содержать конфиденциальную личную информацию, которую может использовать злоумышленник.
Он также отметил, что досадно, что уязвимости SQL-инъекции все еще обнаруживаются. «Как индустрия, мы исчерпываем оправдания» тому, почему они продолжают появляться в приложениях, сказал он. Эта и подобные уязвимости SQL-инъекции указывают на слабости в жизненных циклах разработки приложений некоторых организаций.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
