Lỗ hổng SQL Injection trong Drupal Core đang bị khai thác tích cực, được thêm vào danh mục KEV của CISA

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng SQL injection nghiêm trọng CVE-2026-9082 ảnh hưởng đến Drupal Core vào danh mục KEV sau khi ghi nhận hàng nghìn nỗ lực khai thác trong thực tế.
Lỗ hổng Drupal Core được thêm vào danh mục CISA KEV

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm một lỗ hổng bảo mật nghiêm trọng vừa được vá lỗi ảnh hưởng đến Drupal Core vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc bị khai thác tích cực.

Lỗ hổng đang được nhắc đến là CVE-2026-9082 (điểm CVSS: 6.5), một lỗ hổng SQL injection ảnh hưởng đến tất cả các phiên bản Drupal Core được hỗ trợ.

"Drupal Core chứa một lỗ hổng SQL injection có thể cho phép leo thang đặc quyền và thực thi mã từ xa thông qua các yêu cầu được tạo đặc biệt gửi tới API trừu tượng hóa cơ sở dữ liệu," CISA cho biết.

Các phiên bản bị ảnh hưởng và bản vá lỗi

Thông tin về việc bị khai thác xuất hiện chưa đầy hai ngày sau khi Drupal phát hành các bản vá lỗi. Các bản vá hiện có sẵn cho các phiên bản sau:

  • Drupal 11.3.10
  • Drupal 11.2.12
  • Drupal 11.1.10
  • Drupal 10.6.9
  • Drupal 10.5.10
  • Drupal 10.4.10
  • Drupal 9.5 (Yêu cầu vá lỗi thủ công)
  • Drupal 8.9 (Yêu cầu vá lỗi thủ công)

Ghi nhận hàng nghìn cuộc tấn công trong thực tế

Trong một bản cập nhật cho khuyến nghị của mình vào ngày 22 tháng 5 năm 2026, Drupal thừa nhận rằng "các nỗ lực khai thác hiện đang được phát hiện trong thực tế." Imperva, một công ty thuộc sở hữu của Thales, cho biết họ đã quan sát thấy hơn 15.000 nỗ lực tấn công nhắm vào gần 6.000 trang web riêng lẻ tại 65 quốc gia.

"Cho đến nay, các cuộc tấn công chủ yếu nhắm vào các trang web dịch vụ tài chính và trò chơi, chiếm tổng cộng gần 50% tất cả các cuộc tấn công," công ty cho biết. "Hầu hết các hoạt động được quan sát cho đến nay có vẻ là thăm dò (probing)."

"Mô hình này cho thấy những kẻ tấn công và trình quét chủ yếu đang cố gắng xác định các trang web Drupal bị lộ chạy cấu hình hỗ trợ PostgreSQL có lỗ hổng. Mặc dù hoạt động hiện tại chủ yếu là trinh sát và xác thực, nhưng bản chất của lỗ hổng này có nghĩa là việc khai thác thành công có thể nhanh chóng chuyển từ thăm dò sang trích xuất dữ liệu hoặc leo thang đặc quyền."

Các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) đã được khuyến nghị áp dụng các bản vá lỗi trước ngày 27 tháng 5 năm 2026 để được bảo vệ tối ưu.