Securitatea cibernetică: Vulnerabilitate critică SQL Injection identificată în Drupal (SA-CORE-2026-004)

Thursday, May 21, 2026

Echipa de securitate Drupal a emis o alertă de securitate majoră, clasificată cu un nivel de severitate „foarte critic” (scor 20/25), privind o vulnerabilitate de tip SQL Injection (CVE-2026-9082) prezentă în nucleul platformei (Drupal core).

Breșa de securitate permite unui atacator la distanță, neautentificat, să execute interogări SQL arbitrare prin trimiterea unor cereri malițioase structurate. Impactul potențial include compromiterea integrității datelor, accesul neautorizat la informații confidențiale și, în anumite configurații, executarea de cod de la distanță (RCE).

Sisteme afectate și vectori de risc

• Sisteme țintă:
  Versiunile de Drupal core de la 8.9.0 până la cele mai recente din generațiile 10 și 11.
• Configurație vulnerabilă:
  Riscul direct de exploatare SQL Injection vizează site-urile care utilizează sistemul de gestionare a bazelor de date PostgreSQL.
• Riscuri secundare:
  Utilizatorii de MySQL sunt, de asemenea, instruiți să aplice patch-ul, pachetul de actualizare incluzând remedieri de securitate pentru componente terțe esențiale (Symfony și Twig).

Măsuri de remediere obligatorii

Pentru atenuarea riscurilor, se impune actualizarea imediată a instanțelor Drupal la versiunile corectate corespunzătoare fiecărei ramuri de producție:

• Drupal 11.3 => Actualizare la versiunea 11.3.10
• Drupal 11.2 => Actualizare la versiunea 11.2.12
• Drupal 11.1 / 11.0 => Actualizare la versiunea 11.1.10
• Drupal 10.6 => Actualizare la versiunea 10.6.9
• Drupal 10.5 => Actualizare la versiunea 10.5.10
• Drupal 10.4 (și versiuni anterioare suportate) => Actualizare la versiunea 10.4.10

Se recomandă administratorilor de sistem să testeze patch-urile în medii izolate înainte de implementarea în producție. Consultarea raportului tehnic complet este disponibilă pe pagina oficială Drupal Security Advisory.