Разработчики Drupal выпустили экстренные патчи для «высококритичной» уязвимости в Drupal Core, которая затрагивает сайты, использующие PostgreSQL. Проблема получила идентификатор CVE-2026-9082 и связана с SQL-инъекцией, которая в некоторых сценариях может привести к удаленному выполнению кода.

Речь идет о баге в API абстракции БД Drupal. Этот механизм используется для проверки и очистки запросов, чтобы защитить CMS от SQL-инъекций. Однако ошибка в работе API позволяла отправлять специально сформированные запросы и выполнять произвольные SQL-запросы на сайтах с PostgreSQL.

Разработчики пишут, что в худшем случае это грозит раскрытием данных, повышением привилегий и даже удаленным выполнением кода. При этом уязвимость может эксплуатироваться анонимно — для атаки не требуется учетная запись.

Исправления уже доступны для следующих веток:

• Drupal 11.3.10;


• Drupal 11.2.12;


• Drupal 11.1.10;


• Drupal 10.6.9;


• Drupal 10.5.10;


• Drupal 10.4.10.

Разработчики отдельно подчеркивают, что Drupal 7 этой проблеме не подвержен. Кроме того, свежие релизы для поддерживаемых веток включают обновления Symfony и Twig, поэтому администраторам рекомендуют как можно скорее установить последние версии.

Хотя Drupal 8 и Drupal 9 уже не поддерживаются, для них тоже подготовили best-effort-патчи: Drupal 9.5 и Drupal 8.9.

Правда, такие исправления придется устанавливать вручную, и разработчики прямо предупреждают: старые ветки остаются уязвимыми перед другими ранее раскрытыми багами.

Также представители проекта подчеркнули, что Drupal 11.1.x, 11.0.x, 10.4.x и более старые версии более не получают полноценной поддержки. Поэтому владельцам сайтов на устаревших версиях советуют не ограничиваться временными патчами и как можно быстрее переходить на актуальные ветки Drupal 11.3 или 10.6.

Напомним, еще до публикации деталей проблемы разработчики Drupal выпустили редкое предварительное предупреждение о грядущем обновлении и посоветовали администраторам заранее подготовиться к срочному патчингу. Тогда отмечалось, что рабочие эксплоиты для бага могут появиться «в течение часов или дней» после раскрытия информации.

Следует отметить, что пометка «highly critical» практически не появлялась в бюллетенях безопасности Drupal в последние годы. На этом фоне многие сразу вспомнили о Drupalgeddon (CVE-2014-3704, SQL-инъекция) и Drupalgeddon2 — уязвимостях прошлых лет, которые злоумышленники массово эксплуатировали для взлома сайтов по всему миру.