美利坚合众国网络安全与基础设施安全局(CISA) 增之 微软交换服务器之瑕疵,追踪为CVE-2026-9082(CVSS评分9.8),及其 已知遭利用漏洞目录.
五月廿日,Drupal发布高度关键安全补丁,针对 CVE-2026-9082之SQL注入漏洞,此漏洞使未认证攻击者得侵及运行PostgreSQL数据库之站点。攻击尝试几乎立时开始,四十八时内,安全公司已追踪野地中数千次攻击。
此漏洞藏于一API之中,其设为净数据库查询,以防SQL注入。然该API有隙,使攻击者可发特制之请求,于使用PostgreSQL之站点注入任意SQL命。如Drupal于其 告警中所言。
云:“此API有隙,使攻者得发巧构之请,致PostgreSQL数据库之用者,任SQL注入焉。此可致信息泄露,或于某些情形,得升权柄,行远程代码,或为其他攻击。” 之告曰:“此隙,无名者可乘之。”
其果可自泄密至权升,或于某些配置中,行远程码执。
关于CVE-2026-9082之告,于五月廿二更新,距补丁发布二日,详述其状,证众人所疑:
“风险之评分已更,以显今有利用之试于野中见之。” 云 新之告示.
Imperva察得,于披露之二日之内,于六十五国之内,有六千之Drupal站,遭一万五千以上之利用尝试。近半之攻击,目标为游戏与金融服务之组织,盖因凭据与财务数据之价值甚高故也。
自 CVE-2026-9082 之告,Imperva 观察得攻击之试逾一万五千,所向几六千之址,布于六十五国。攻击者,今主击戏娱与财用之务,计几半焉,几近五成也。 Imperva 言。。“此模式示,攻击者与扫描器主欲辨识暴露之Drupal站,运行脆弱PostgreSQL支持之配置。虽活动现以侦察与验证为主,然此脆弱之性,若得成功利用,则可速自探测转至数据窃取或权限提升。”
据 《约束性操作指令》(BOD)22-01:降低已知被利用漏洞的重大风险FCEB之机构,须于限期前,应所识之弱,以护其网,免遭利用目录中瑕疵之攻。
专家亦建议私人机构审阅之。 目录 乃治其基建之弱。
CISA命联邦机构速补此隙。 丙申年四月廿八日
皮耶鲁吉(Pierluigi) 帕格尼尼(Paganini)
随我于Twitter: @安全事务 且 脸书(Facebook) 且 麋鹿(Mastodon)
(SecurityAffairs – hacking, US CISA Known Exploited Vulnerabilities catalog)
此內容由慣性聚合(RSS閱讀器)自動聚合整理,僅供閱讀參考。 原文來自 — 版權歸原作者所有。