← Sve vesti
Ranjivosti 22. maj 2026. CyberPress

Drupal zakrpio SQL injection ranjivost u sloju koji sprečava SQL injection napade

Drupal, sistem za upravljanje sadržajem na kome stoje brojni sajtovi državnih institucija, škola i firmi, zakrpio je kritičan propust u sloju koji sprečava SQL injection napade. Greška (CVE-2026-9082, ocena 20 od 25 na Drupalovoj skali) je u database abstraction sloju koji inače čisti sve upite pre izvršavanja; napadač posebno pripremljenim HTTP zahtevom provlači sirov, zlonameran SQL upit direktno do PostgreSQL baze — bez ikakvog naloga i bez ijedne radnje korisnika. Posledice idu od curenja podataka i eskalacije privilegija do, u nekim konfiguracijama, izvršavanja koda daljinski. Direktno su pogođeni sajtovi na PostgreSQL-u; oni na MySQL-u treba da se ažuriraju zbog zakrpa u priloženim Symfony i Twig komponentama. Ispravke su u 11.3.10, 11.2.12, 10.6.9 i 10.5.10 i postavljaju se za nekoliko minuta, bez prekida rada. Zloupotreba zasad nije potvrđena, ali Drupal upozorava da prvi napadi mogu da se pojave u roku od nekoliko sati od objave zakrpe.

Pojašnjenje

Ovde nije toliko opasna domišljatost napada, koliko slepo poverenje u apstrakciju: veb programeri koji grade na Drupalu računaju na taj bezbednosni sloj kao osiguranje, ali šta kad on popusti? Drupalovo upozorenje da prvi napadi mogu stići u roku od nekoliko sati znači da objava ispravke ujedno pokreće odbrojavanje, dok napadači čitaju zakrpu da bi rekonstruisali propust. Za nas tu stiže i dobro poznata muka: koliko institucija drži sajtove na verzijama Drupala koje se godinama ne ažuriraju, pa i na onima koje su odavno van podrške i imaju sijaset poznatih propusta?

Preporuke
Originalni izvor → Sve vesti RSS