ב-20 במאי צוות האבטחה של Drupal פרסם תיקון לפגיעת SQL Injection שדורגה אצלם 20 מתוך 25, כלומר קריטית במיוחד. הפגיעות מסומנת CVE-2026-9082, ותוך 48 שעות מהפרסום כבר נצפו אלפי ניסיונות ניצול בעולם.
מה שהופך אותה למסוכנת הוא שאפשר לנצל אותה בלי שום הזדהות, על ידי משתמש אנונימי שפשוט שולח בקשה לאתר. ניצול מוצלח יכול לחשוף מידע רגיש מתוך מסד הנתונים, לשנות או למחוק נתונים, ובתצורות מסוימות אף להוביל הלאה להסלמת הרשאות.
הניואנס החשוב
הפגיעות נוגעת רק לאתרי Drupal שרצים על מסד נתונים PostgreSQL. היא יושבת במנגנון שאמור דווקא למנוע SQL Injection, ובמקום לתקוף את ערכי הפרמטרים היא מנצלת את האופן שבו מפתחות של מערך נתונים מתורגמים לשמות placeholder במסד. תוקף יכול להחביא תווים מיוחדים בתוך מפתח הסינון עצמו, לא רק בערך, ובכך לעקוף את ההגנה.
גם אם האתר שלכם לא על PostgreSQL, כדאי לעדכן. אותן גרסאות אבטחה כוללות גם תיקונים חשובים לרכיבי Symfony ו-Twig שמשמשים את כל אתרי Drupal.
מה לעשות
לעדכן מיד לאחת מגרסאות התיקון שיצאו לכל ענפי התמיכה. אם יש לכם אתר ציבורי שמקבל תנועה אנונימית והוא על PostgreSQL, זה בראש סדר העדיפויות. כדאי גם לעבור על לוגים ולחפש בקשות חריגות לכתובות מסוג jsonapi.
אתר תוכן הוא לעיתים קרובות לא רק האתר. הוא מחזיק גישה לנתוני לקוחות ולתהליכים פנימיים, ולכן פגיעה בו היא הרבה מעבר לדף מושחת. כתבנו לאחרונה על החשיבות של ניהול תשתית ברמת הדפדפן בארגון, ואותו היגיון של עדכון שוטף ולא חד פעמי חל גם על מערכת ניהול התוכן. אם אתם לא בטוחים מי אחראי על עדכוני ה-CMS שלכם, צרו קשר.