Drupal 于五月廿日发布高度关键之安全补丁,以应 CVE-2026-9082。,此乃SQL注入之隙,使未获授权之攻者得陷PostgreSQL数据库所运行之站点。项目维护者于发布前已警示,称利用之法或现于数时辰乃至数日之内。其预言果验;利用之试几乎立时发轫,四十八时辰内,安全之商已追踪旷野中数千次攻击。
此缺陷藏于一API之中,其设为净化工数据库查询,以防SQL注入。然该API有隙,使攻击者可发特制之请,于使用PostgreSQL之站注入任意SQL命。如Drupal于其告警中所言。
云:“此API有隙,使攻者可发巧构之请,致PostgreSQL数据库之用者,任SQL注入焉。此可致信息泄露,或于某些情形,得权升级,远程代码执行,或他种攻击。”之告如是言。又云:“此隙,无名者可乘之。”
其果可自泄密至权升,或于某些配置中,行远程码执行之事。
非所有Drupal之站皆受其害,此弊唯及以PostgreSQL为数据库后端者,Drupal估其不过五分之一耳。然则,鉴于Drupal驱动全球数十万网站,其中多属政府、高等教育、媒体及企业之环境,故此仍可致数千潜在脆弱之站。
关于CVE-2026-9082之告诫,五月廿二日更新,适逢补丁发布后两日,其详言明示众所已疑:
“风险之评分已更,以显今有利用之尝试,已见诸野。”云于更新之告诫。
Drupal 依 NIST CVSS 之评分法,其最高评级为廿五,故得廿三者,当属“急速修补”之列。
Imperva之研士出数据,显攻击者行踪之速。该安企公司报称,披露后二日之内,睹逾一万五千之利用尝试,针对六千近处之站点,散布于六十五国。其半数攻击,皆指向博弈与金融服务之站点,此二者,皆可立时盗取凭据,并得金融数据,以谋利。
自 CVE-2026-9082 之告,Imperva 观察得攻击之试逾一万五千,所向几六千之众,布于六十五国。攻击之的,今尤在游艺与财服之场,合占攻击之半,几近五成。,Imperva 之言也。。“此模式示,攻击者与扫描器主欲辨识暴露之Drupal站,运行脆弱PostgreSQL配置者。虽当前活动主为侦察与验证,然此脆弱之性,若得成功利用,则可速自探测转为数据窃取或权限提升。”
首攻之国,美利坚(61.8%)、新加波(6.6%)、澳大利亚(6.3%)为最。
此乃今时今刻,守者所重之要。今所察者,犹多侦测,攻者测绘其地之可乘,试其术之可行,而确认其效。虽未至广窃数据、夺其机要之境,非待之之由。此机一失,永不再临。
PostgreSQL 上運行 Drupal 之管理員,其事直截:當即施補丁。MySQL 或 MariaDB 之使用者,此弱點不適,然核實其站所使用之資料庫後端,較之臆斷,尤為得宜。至於管理 Drupal 基礎設施而未施補丁者,若見日記中異常資料庫查詢模式或認證失敗嘗試,當視為潛在敵意,亟行查察。
Imperva 所察之模式,广布侦察而后择优利用,此等战役之常势也。今乃测绘之期,次为收获之段。超前此变之机,狭而日蹙。
Drupal 末次见高危之隙,为主动利用。 复现于2019年,甫及补丁发布,即有远程代码执行之漏洞。其前,有二缺陷,名曰Drupalgeddon及Drupalgeddon2。 之器,广施于众,以陷万址,故而闻于世。自二零一九以降,Drupal之迹,颇显清白,至要之患,鲜有发生。纵有现,亦未闻波及甚广。
跟我于Twitter: @securityaffairs 及 Facebook 及 Mastodon
(安全事务 – 渗透,Drupal)
此內容由慣性聚合(RSS閱讀器)自動聚合整理,僅供閱讀參考。 原文來自 — 版權歸原作者所有。