기술 설명
Drupal Core는 PostgreSQL을 데이터베이스 백엔드로 사용하는 설치에 영향을 미치는 데이터베이스 추상화 API의 SQL injection 취약점(CWE-89)을 포함하고 있습니다. 이 취약점은 익명 사용자가 영향을 받는 Drupal 사이트에 보낸 특별히 제작된 요청을 통해 악용될 수 있습니다. Drupal은 2026년 5월 20일 보안 권고 SA-CORE-2026-004에서 문제를 공개했으며, 이를 '매우 심각'으로 평가했습니다. CISA는 2026년 5월 22일 야생에서의 능동적 악용을 확인한 후 CVE-2026-9082을 알려진 악용 취약점 카탈로그에 추가했습니다. 성공적인 악용은 정보 공개, 권한 상승, 원격 코드 실행 또는 기타 후속 공격으로 이어질 수 있습니다. Drupal은 관리자에게 공개 권고 후 몇 시간 또는 며칠 내에 악용이 개발될 수 있다고 경고했습니다.
공격 경로
SQL injection은 PostgreSQL 쿼리를 처리할 때 Drupal Core의 사전 인증 경로를 통해 트리거됩니다. 공개 연구에서 /user/login?_format=json이 취약한 코드 싱크로 가는 익명 경로 중 하나로 식별되었습니다. 공격자는 데이터베이스 추상화 계층에 SQL 명령을 주입하는 악의적인 요청을 작성하여 인증을 우회하고 임의의 SQL 작업을 실행할 수 있습니다. 이 결함은 고정 릴리스 이전의 8.9.0부터 여러 10.x 및 11.x 분기까지의 Drupal Core 버전에 영향을 미칩니다.
영향받는 시스템
PostgreSQL 데이터베이스 백엔드를 사용하는 Drupal Core 설치: Drupal 8.9.0부터 10.4.10 이전 버전; 10.5.x부터 10.5.10 이전; 10.6.x부터 10.6.9 이전; 11.0.x 및 11.1.x부터 11.1.10 이전; 11.2.x부터 11.2.12 이전; 11.3.x부터 11.3.10 이전. MySQL, MariaDB 또는 SQLite를 사용하는 설치는 SQL injection 구성 요소의 영향을 받지 않지만 번들된 Symfony 및 Twig 보안 수정을 위해 업데이트해야 합니다.
완화 방안
실행 중인 분기에 대해 고정된 Drupal Core 버전으로 즉시 업그레이드하세요: 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 또는 11.3.10. 지원 종료된 분기(Drupal 8.x, 9.x 및 이전 10.x 및 11.x 마이너 버전)의 경우, Drupal은 예외적인 최선의 노력 패치를 릴리스했습니다. 그러나 지원되는 분기로의 마이그레이션이 유일한 장기 보안 솔루션입니다. 설치가 PostgreSQL을 사용하는지 확인하세요. 사용하지 않으면 SQL injection이 적용되지 않지만 다른 보안 수정을 위해 업데이트가 여전히 권장됩니다. 2026년 5월 18일부터 /user/login?_format=json에 대한 비정상적인 POST 트래픽, 500 오류 응답 또는 비정상적인 JSON:API 요청 로그를 검토하세요. CISA KEV 지침에 따라 연방 기관은 2026년 5월 27일까지 복구해야 합니다.