CVE-2026-9082: Drupal 核心 SQL 注入漏洞被添加到 CISA KEV

执行摘要

美国网络安全和基础设施安全局（CISA）已将其已知被利用漏洞（KEV）目录中添加了CVE-2026-9082——一个在Drupal核心中的严重SQL注入漏洞，确认了在野外的活跃利用。这个漏洞的CVSS得分为6.5，影响所有支持的Drupal核心版本。根据绑定操作指令（BOD）22-01，联邦文职行政部门机构必须在2026年6月12日之前应用供应商提供的补丁。运行Drupal的组织应将此作为高优先级的补救目标。

技术分析

CVE-2026-9082是Drupal核心数据库抽象层中存在的SQL注入漏洞。根据Drupal安全团队的咨询，该漏洞允许攻击者通过传递给某些数据库API函数的精心制作的输入来注入任意SQL查询。漏洞存在是因为用户提供的数据在被纳入SQL语句之前没有得到适当的清理，使未经身份验证的远程攻击者能够对底层数据库执行任意SQL命令。

Drupal项目在2026年5月20日发布了一个安全更新，涵盖了Drupal 7.x、9.x、10.x和11.x。补丁修改了数据库抽象层，以强制执行参数化查询，有效地中和了注入向量。咨询指出，运行Drupal 7的站点如果使用了直接调用db_query()或类似函数的第三方模块，可能需要额外的更新，因为核心补丁只解决了标准API中的漏洞。

CISA在2026年5月22日将其添加到KEV目录，随后报告了针对未修补的Drupal实例的活跃利用。该机构没有披露具体的威胁行为者归属或活动细节，但包含的信号表明利用足够广泛，需要强制性联邦行动。Hacker News报道称，该漏洞最初是由Drupal安全团队的一名成员在内部代码审查中发现的，补丁发布之前没有公开的概念验证漏洞利用。

缓解措施与建议

防御者应立即应用Drupal核心在2026年5月20日发布的安全更新。更新可通过Drupal项目的官方发布渠道获得，并通过标准更新机制安装。运行Drupal 7的站点在应用补丁前应验证与第三方模块的兼容性，因为核心修复可能会引入自定义数据库查询的破坏性变更。

对于无法立即修补的组织，应优先考虑网络层的缓解措施。可以配置Web应用程序防火墙（WAF）以规则来阻止针对Drupal端点的SQL注入模式。此外，Drupal使用的数据库账户应限制为最低必要的权限——特别是对Drupal数据库的SELECT、INSERT、UPDATE和DELETE权限，除非模块安装需要，否则移除CREATE和ALTER权限。监控数据库查询日志中异常的UNION、SELECT *或OR 1=1模式可以帮助检测利用尝试。

受BOD 22-01约束的联邦机构必须在2026年6月12日之前进行补救。所有其他组织应将此视为关键补丁周期，鉴于已确认的活跃利用和数据泄露或数据库泄露的潜在风险。