CISA přidala 22. května 2026 do katalogu aktivně zneužívaných zranitelností jednu položku: kritickou chybu SQL injection v jádru Drupalu postihující weby na PostgreSQL. Záplata existuje a je nutné ji aplikovat bez prodlení.

Katalog CISA Known Exploited Vulnerabilities (KEV) eviduje zranitelnosti, u nichž bylo prokázáno aktivní zneužívání v praxi. Do tohoto vydání přibyl jediný záznam – CVE-2026-9082 v jádru redakčního systému Drupal – avšak jeho závažnost a rychlost šíření exploitace z něj dělají okamžitou prioritu pro každého provozovatele dotčených webů.

CVE-2026-9082: Drupal Core – SQL injection v PostgreSQL EntityQuery

Zranitelnost se nachází v abstrakční vrstvě pro práci s databází v jádru Drupalu. Konkrétně podmínková obsluha EntityQuery pro databázový backend PostgreSQL nesprávně sanitizuje vstupní hodnoty, takže útočník může do databázového dotazu vložit zákeřný SQL kód. Zneužití nevyžaduje přihlášení – stačí připravený HTTP požadavek zaslaný na veřejně dostupný endpoint webu. Úspěšný útok vede ke čtení nebo úpravě dat v databázi; v závislosti na databázové konfiguraci a oprávněních databázového uživatele může útočník dosáhnout eskalace oprávnění nebo v krajním případě spuštění příkazů na serveru.

Drupal Security Team ohodnotil zranitelnost 20 z 25 bodů ve vlastní škále, tedy kategorií „Vysoce kritická", a po prvních potvrzených pokusech o zneužití hodnocení revidoval na 23 z 25. NVD přiřadilo CVSS 3.x skóre 6,5, což bezpečnostní analytici shodně označují za podhodnocené – reálný dopad závisí na konkrétní konfiguraci databázového serveru a oprávněních Drupalu v rámci databáze. Weby provozované na MySQL nebo MariaDB touto zranitelností postiženy nejsou; CVE-2026-9082 se týká výhradně instalací na PostgreSQL.