Lỗ hổng bảo mật nghiêm trọng trong Drupal Core đe dọa các website sử dụng PostgreSQL

Drupal vừa chính thức phát hành các bản cập nhật bảo mật nhằm khắc phục một lỗ hổng nghiêm trọng trong Drupal Core. Lỗ hổng này có thể bị kẻ tấn công khai thác để thực thi mã từ xa (RCE), leo thang đặc quyền hoặc truy cập trái phép vào dữ liệu nhạy cảm.

Được định danh là CVE-2026-9082 với điểm CVSS là 6.5/10, lỗ hổng nằm trong API trừu tượng hóa cơ sở dữ liệu (database abstraction API) của Drupal Core. Thành phần này vốn chịu trách nhiệm xác thực và làm sạch các truy vấn để ngăn chặn tấn công SQL injection. Tuy nhiên, một lỗi trong API này cho phép kẻ tấn công gửi các yêu cầu được thiết kế đặc biệt, dẫn đến việc thực thi SQL injection tùy ý trên các website sử dụng PostgreSQL.

Theo cảnh báo, lỗ hổng này có thể bị khai thác bởi người dùng ẩn danh (anonymous user). Đáng chú ý, chỉ những website sử dụng PostgreSQL làm cơ sở dữ liệu mới chịu ảnh hưởng; các hệ thống dùng MySQL hoặc SQLite hiện không nằm trong phạm vi khai thác của lỗ hổng này.

Các phiên bản Drupal đã được cập nhật bao gồm:

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10

Drupal 7 không bị ảnh hưởng bởi lỗ hổng này. Đối với các phiên bản đã kết thúc vòng đời hỗ trợ (end-of-life) như Drupal 8.9 và 9.5, nhà phát triển cũng đã cung cấp các bản vá thủ công như một nỗ lực hỗ trợ cộng đồng. Tuy nhiên, người dùng được khuyến cáo nên nâng cấp lên các phiên bản mới nhất để nhận được các bản cập nhật bảo mật đi kèm cho Symfony và Twig.

Các nhà nghiên cứu từ Searchlight Cyber đã xác nhận sự tồn tại của các mã khai thác (PoC) cho CVE-2026-9082. Dù các PoC này chỉ nhắm vào PostgreSQL, các chuyên gia bảo mật vẫn đặc biệt nhấn mạnh tầm quan trọng của việc cập nhật hệ thống ngay lập tức để đảm bảo an toàn cho các thành phần phụ thuộc khác trong môi trường Drupal.

Nguồn tham khảo: The Hacker News