Den amerikanska cybersäkerhetsmyndigheten CISA utfärdade ett akut direktiv som beordrar federala myndigheter att patcha en kritisk Drupal-sårbarhet som angripare redan utnyttjar i verkliga attacker.
Sårbarheten påverkar Drupal-webbplatser som använder PostgreSQL-databaser och kan göra det möjligt för angripare att köra skadliga SQL-kommandon på distans. Säkerhetsforskare varnar för att lyckade attacker kan leda till datastöld, privilegieeskalering eller fullständig kompromettering av system.
CISA lade till sårbarheten i sin Known Exploited Vulnerabilities-katalog efter att forskare bekräftat aktiva attacker mot exponerade system.
Sårbarheten möjliggör attacker utan autentisering
Forskare identifierade Drupal-sårbarheten som CVE-2026-9082, en kritisk SQL injection-sårbarhet som påverkar Drupal Core-installationer som använder PostgreSQL-databaser.
Enligt säkerhetsråd kan angripare utnyttja sårbarheten på distans utan autentisering genom att skicka särskilt utformade förfrågningar till sårbara system.
Forskare varnar för att lyckad exploatering kan göra det möjligt för angripare att:
- Köra skadliga SQL-kommandon
- Få åtkomst till känslig information
- Eskalera privilegier
- Kompromettera backend-databaser
- Uppnå fjärrkörning av kod
Sårbarheten påverkar enligt uppgifter en skyddsmekanism som ansvarar för att sanera databasförfrågningar i Drupal.
Exploateringen började snabbt efter offentliggörandet
Säkerhetsforskare upptäckte attackförsök kort efter att Drupal släppte säkerhetsuppdateringar i maj 2026. Säkerhetsmeddelandet uppdaterades senare för att bekräfta att angripare aktivt utnyttjade sårbara system online.
Forskarna rapporterade över 15 000 attackförsök riktade mot tusentals Drupal-webbplatser i dussintals länder bara några dagar efter offentliggörandet.
Utredare uppgav att organisationer inom finans- och spelbranschen stod för en stor del av den observerade målaktiviteten. Forskare varnade också för att angriparna för närvarande verkar fokusera på kartläggning och verifiering av sårbarheter innan större attackkampanjer inleds.
CISA satte en akut tidsfrist för åtgärder
CISA beordrade myndigheter inom Federal Civilian Executive Branch att säkra berörda system enligt Binding Operational Directive 22-01. Myndigheten uppgav att sårbarheter som läggs till i Known Exploited Vulnerabilities-katalogen kräver omedelbar uppmärksamhet eftersom angripare redan använder dem i aktiva operationer.
Direktivet visar den växande pressen på organisationer att snabbt patcha internetanslutna system efter att sårbarheter offentliggjorts.
Säkerhetsexperter uppmanade också privata organisationer som använder Drupal-miljöer att installera tillgängliga säkerhetsuppdateringar omedelbart, särskilt på system som använder PostgreSQL-databaser.
Drupal fortsätter vara ett vanligt mål
Drupal driver tusentals webbplatser inom företag, myndigheter, utbildning och media världen över. Plattformens stora spridning gör att kritiska sårbarheter snabbt drar till sig intresse från cyberkriminella grupper och automatiserade attackkampanjer.
Forskare varnar för att angripare rutinmässigt skannar internet efter opatchade Drupal-system inom bara några timmar efter att säkerhetsråd publiceras.
Tidigare Drupal-sårbarheter har också lett till storskaliga exploateringskampanjer som komprometterat exponerade servrar innan organisationer hunnit installera patchar.
Slutsats
Den aktivt exploaterade Drupal-sårbarheten har utlöst akuta varningar från CISA och cybersäkerhetsforskare världen över. Utredare har redan observerat tusentals attackförsök mot exponerade Drupal-system kort efter offentliggörandet. Säkerhetsexperter anser därför att organisationer som använder berörda Drupal-miljöer bör prioritera patchning omedelbart för att minska risken för kompromettering.
0 svar till ”CISA beordrar myndigheter att patcha aktivt exploaterad Drupal-sårbarhet”