CISA Menambahkan Kerentanan SQL Injection Drupal Core ke Katalog KEV — CVE-2026-9082

Drupal Core mengandung kerentanan SQL injection (CWE-89) dalam API abstraksi basis datanya yang memengaruhi instalasi yang menggunakan PostgreSQL sebagai backend basis data. Kerentanan ini dapat dieksploitasi oleh pengguna anonim melalui permintaan khusus yang dikirim ke situs Drupal yang terpengaruh. Drupal mengungkapkan masalah ini pada 20 Mei 2026, dalam pemberitahuan keamanan SA-CORE-2026-004, dan menilainya sebagai 'Sangat kritis.' CISA menambahkan CVE-2026-9082 ke katalog Known Exploited Vulnerabilities pada 22 Mei 2026, setelah mengonfirmasi eksploitasi aktif di alam liar. Eksploitasi yang berhasil dapat menyebabkan pengungkapan informasi, eskalasi privilege, eksekusi kode jarak jauh, atau serangan lanjutan lainnya. Drupal memperingatkan administrator bahwa exploit mungkin dikembangkan dalam hitungan jam atau hari setelah pemberitahuan publik.

SQL injection dipicu melalui jalur pra-autentikasi di Drupal Core saat menangani kueri PostgreSQL. Penelitian publik mengidentifikasi /user/login?_format=json sebagai salah satu rute anonim ke sink kode yang rentan. Penyerang dapat menyusun permintaan berbahaya yang menyuntikkan perintah SQL ke lapisan abstraksi basis data, melewati autentikasi dan mengeksekusi operasi SQL sewenang-wenang. Cacat ini memengaruhi versi Drupal Core dari 8.9.0 melalui beberapa cabang 10.x dan 11.x sebelum rilis yang diperbaiki.

Instalasi Drupal Core yang menggunakan backend basis data PostgreSQL: Drupal 8.9.0 sebelum 10.4.10; 10.5.x sebelum 10.5.10; 10.6.x sebelum 10.6.9; 11.0.x dan 11.1.x sebelum 11.1.10; 11.2.x sebelum 11.2.12; 11.3.x sebelum 11.3.10. Instalasi yang menggunakan MySQL, MariaDB, atau SQLite tidak terpengaruh oleh komponen SQL injection tetapi tetap harus diperbarui untuk perbaikan keamanan Symfony dan Twig yang disertakan.

Tingkatkan segera ke versi Drupal Core yang diperbaiki untuk cabang yang Anda jalankan: 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12, atau 11.3.10. Untuk cabang yang tidak lagi didukung (Drupal 8.x, 9.x, dan minor 10.x dan 11.x yang lebih lama), Drupal merilis patch luar biasa dengan upaya terbaik; namun, migrasi ke cabang yang didukung adalah satu-satunya solusi keamanan jangka panjang. Konfirmasi apakah instalasi Anda menggunakan PostgreSQL; jika tidak, SQL injection tidak berlaku, tetapi pembaruan tetap disarankan untuk perbaikan keamanan lainnya. Tinjau log sejak 18 Mei 2026 dan seterusnya untuk lalu lintas POST abnormal ke /user/login?_format=json, respons error 500, atau permintaan JSON:API yang tidak biasa. Lembaga federal harus mengatasi masalah ini pada 27 Mei 2026, sesuai panduan CISA KEV.