美利坚合众国网络安全与基础设施安全局（CISA）将Drupal核心之缺陷列于已知遭利用漏洞目录。

美利坚合众国网络安全与基础设施安全局（CISA） 增之 微软交换服务器之瑕疵，追踪为CVE-2026-9082（CVSS评分9.8），及其 已知遭利用漏洞目录.

五月廿日，Drupal发布高度关键安全补丁，针对 CVE-2026-9082之SQL注入漏洞，此漏洞使未认证攻击者得侵及运行PostgreSQL数据库之站点。攻击尝试几乎立时开始，四十八时内，安全公司已追踪野地中数千次攻击。

此漏洞藏于一API之中，其设为净数据库查询，以防SQL注入。然该API有隙，使攻击者可发特制之请求，于使用PostgreSQL之站点注入任意SQL命。如Drupal于其 告警中所言。

云：“此API有隙，使攻者得发巧构之请，致PostgreSQL数据库之用者，任SQL注入焉。此可致信息泄露，或于某些情形，得升权柄，行远程代码，或为其他攻击。” 之告曰：“此隙，无名者可乘之。”

其果可自泄密至权升，或于某些配置中，行远程码执。

关于CVE-2026-9082之告，于五月廿二更新，距补丁发布二日，详述其状，证众人所疑：

“风险之评分已更，以显今有利用之试于野中见之。” 云 新之告示.

Imperva察得，于披露之二日之内，于六十五国之内，有六千之Drupal站，遭一万五千以上之利用尝试。近半之攻击，目标为游戏与金融服务之组织，盖因凭据与财务数据之价值甚高故也。

自 CVE-2026-9082 之告，Imperva 观察得攻击之试逾一万五千，所向几六千之址，布于六十五国。攻击者，今主击戏娱与财用之务，计几半焉，几近五成也。 Imperva 言。。“此模式示，攻击者与扫描器主欲辨识暴露之Drupal站，运行脆弱PostgreSQL支持之配置。虽活动现以侦察与验证为主，然此脆弱之性，若得成功利用，则可速自探测转至数据窃取或权限提升。”

据 《约束性操作指令》（BOD）22-01：降低已知被利用漏洞的重大风险FCEB之机构，须于限期前，应所识之弱，以护其网，免遭利用目录中瑕疵之攻。

专家亦建议私人机构审阅之。 目录 乃治其基建之弱。

CISA命联邦机构速补此隙。 丙申年四月廿八日

皮耶鲁吉(Pierluigi) 帕格尼尼（Paganini）

随我于Twitter： @安全事务 且 脸书(Facebook) 且 麋鹿（Mastodon）

(SecurityAffairs – hacking, US CISA Known Exploited Vulnerabilities catalog)

---

---