Критический баг в Drupal может привести к удаленному выполнению кода

МЕНЮ

Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ

Новости ИИ

Голосовой помощник
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ

Разработка ИИ

Атаки на ИИ
ИИ теория
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ

Внедрение ИИ

Big data
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Промпты. Генеративные запросы
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты

Работа разума и сознание

Изучение сна
Изучение сознания
Нейроинтерфейс
Психология
Работа мозга
Работа памяти
Работа разума

Модель мозга

Модель мозга

Робототехника, БПЛА

Беспилотные автомобили
БПЛА
Робототехника

Трансгуманизм

Трансгуманизм

Обработка текста

Анализ социальных сетей
Компьютерная лингвистика
Лингвистика
Поисковые алгоритмы

Теория эволюции

Головной мозг
Нейронные сети
Поведение животных
Теория эволюции

Дополненная реальность

Виртулаьная реальность
Дополненная реальность

Железо

Интернет вещей
Квантовый компьютер
Нейронные процессоры
облачные вычисления
Суперкомпьютеры

Киберугрозы

Кибербезопасность

Научный мир

Методы исследования
Наука и образование
Семинары

ИТ индустрия

ИТ-гиганты
Новости ит

Разработка ПО

Разработка ПО
Теория алгоритмов

Теория информации

Кластеризация

Математика

Актуальная математика
Статистика
Теория вероятности
Теория информации
Теория хаоса

Цифровая экономика

Технология блокчейн
Цифровая экономика

Авторизация

RSS

RSS новости

2026-05-22 19:35

киберугрозы

Разработчики Drupal выпустили экстренные патчи для «высококритичной» уязвимости в Drupal Core, которая затрагивает сайты, использующие PostgreSQL. Проблема получила идентификатор CVE-2026-9082 и связана с SQL-инъекцией, которая в некоторых сценариях может привести к удаленному выполнению кода.

Речь идет о баге в API абстракции БД Drupal. Этот механизм используется для проверки и очистки запросов, чтобы защитить CMS от SQL-инъекций. Однако ошибка в работе API позволяла отправлять специально сформированные запросы и выполнять произвольные SQL-запросы на сайтах с PostgreSQL.

Разработчики пишут, что в худшем случае это грозит раскрытием данных, повышением привилегий и даже удаленным выполнением кода. При этом уязвимость может эксплуатироваться анонимно — для атаки не требуется учетная запись.

Исправления уже доступны для следующих веток:

Drupal 11.3.10;
Drupal 11.2.12;
Drupal 11.1.10;
Drupal 10.6.9;
Drupal 10.5.10;
Drupal 10.4.10.

Разработчики отдельно подчеркивают, что Drupal 7 этой проблеме не подвержен. Кроме того, свежие релизы для поддерживаемых веток включают обновления Symfony и Twig, поэтому администраторам рекомендуют как можно скорее установить последние версии.

Хотя Drupal 8 и Drupal 9 уже не поддерживаются, для них тоже подготовили best-effort-патчи: Drupal 9.5 и Drupal 8.9.

Правда, такие исправления придется устанавливать вручную, и разработчики прямо предупреждают: старые ветки остаются уязвимыми перед другими ранее раскрытыми багами.

Также представители проекта подчеркнули, что Drupal 11.1.x, 11.0.x, 10.4.x и более старые версии более не получают полноценной поддержки. Поэтому владельцам сайтов на устаревших версиях советуют не ограничиваться временными патчами и как можно быстрее переходить на актуальные ветки Drupal 11.3 или 10.6.

Напомним, еще до публикации деталей проблемы разработчики Drupal выпустили редкое предварительное предупреждение о грядущем обновлении и посоветовали администраторам заранее подготовиться к срочному патчингу. Тогда отмечалось, что рабочие эксплоиты для бага могут появиться «в течение часов или дней» после раскрытия информации.

Следует отметить, что пометка «highly critical» практически не появлялась в бюллетенях безопасности Drupal в последние годы. На этом фоне многие сразу вспомнили о Drupalgeddon (CVE-2014-3704, SQL-инъекция) и Drupalgeddon2 — уязвимостях прошлых лет, которые злоумышленники массово эксплуатировали для взлома сайтов по всему миру.

Телеграм: t.me/ainewsline

Источник: xakep.ru



		Критический баг в Drupal может привести к удаленному выполнению кода
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Разработка ИИ Атаки на ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Промпты. Генеративные запросы Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовый компьютер Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2026-05-22 19:35 киберугрозы Разработчики Drupal выпустили экстренные патчи для «высококритичной» уязвимости в Drupal Core, которая затрагивает сайты, использующие PostgreSQL. Проблема получила идентификатор CVE-2026-9082 и связана с SQL-инъекцией, которая в некоторых сценариях может привести к удаленному выполнению кода. Речь идет о баге в API абстракции БД Drupal. Этот механизм используется для проверки и очистки запросов, чтобы защитить CMS от SQL-инъекций. Однако ошибка в работе API позволяла отправлять специально сформированные запросы и выполнять произвольные SQL-запросы на сайтах с PostgreSQL. Разработчики пишут, что в худшем случае это грозит раскрытием данных, повышением привилегий и даже удаленным выполнением кода. При этом уязвимость может эксплуатироваться анонимно — для атаки не требуется учетная запись. Исправления уже доступны для следующих веток: Drupal 11.3.10; Drupal 11.2.12; Drupal 11.1.10; Drupal 10.6.9; Drupal 10.5.10; Drupal 10.4.10. Разработчики отдельно подчеркивают, что Drupal 7 этой проблеме не подвержен. Кроме того, свежие релизы для поддерживаемых веток включают обновления Symfony и Twig, поэтому администраторам рекомендуют как можно скорее установить последние версии. Хотя Drupal 8 и Drupal 9 уже не поддерживаются, для них тоже подготовили best-effort-патчи: Drupal 9.5 и Drupal 8.9. Правда, такие исправления придется устанавливать вручную, и разработчики прямо предупреждают: старые ветки остаются уязвимыми перед другими ранее раскрытыми багами. Также представители проекта подчеркнули, что Drupal 11.1.x, 11.0.x, 10.4.x и более старые версии более не получают полноценной поддержки. Поэтому владельцам сайтов на устаревших версиях советуют не ограничиваться временными патчами и как можно быстрее переходить на актуальные ветки Drupal 11.3 или 10.6. Напомним, еще до публикации деталей проблемы разработчики Drupal выпустили редкое предварительное предупреждение о грядущем обновлении и посоветовали администраторам заранее подготовиться к срочному патчингу. Тогда отмечалось, что рабочие эксплоиты для бага могут появиться «в течение часов или дней» после раскрытия информации. Следует отметить, что пометка «highly critical» практически не появлялась в бюллетенях безопасности Drupal в последние годы. На этом фоне многие сразу вспомнили о Drupalgeddon (CVE-2014-3704, SQL-инъекция) и Drupalgeddon2 — уязвимостях прошлых лет, которые злоумышленники массово эксплуатировали для взлома сайтов по всему миру. Телеграм: t.me/ainewsline Источник: xakep.ru Комментарии:

Критический баг в Drupal может привести к удаленному выполнению кода

Комментарии: