Drupal, 치명적인 SQL 인젝션 취약점이 공격 대상이 됨

출처: Bleeping Computer

Drupal은 해커들이 이번 주 초에 발표된 “매우 심각한” SQL 인젝션 취약점을 악용하려 하고 있다고 경고하고 있습니다.

콘텐츠 관리 시스템(CMS) 프로젝트는 5월 18일에 PSA를 발표하고, 관리자가 핵심 업데이트를 위한 시간을 확보하도록 촉구했습니다. 이 업데이트는 위협 행위자가 “몇 시간 또는 며칠 내에” 악용을 시작할 수 있는 문제를 해결합니다.

이 결함은 현재 CVE-2026-9082로 추적되고 있으며, Google/Mandiant 연구원 Michael Maturi에 의해 발견되었습니다. Drupal의 데이터베이스 추상화 API에 영향을 미칩니다. PostgreSQL을 사용하는 사이트에서 특수하게 조작된 요청으로 임의의 SQL 인젝션을 유발할 수 있습니다.

SQL 인젝션은 공격자가 웹사이트의 사용자 입력 필드나 대화창을 통해 악의적인 SQL 명령을 데이터베이스 쿼리에 삽입하여, 무단 접근, 수정 또는 데이터 삭제를 초래하는 결함입니다.

이 결함은 인증 없이도 악용될 수 있으며, 원격 코드 실행, 권한 상승 및 정보 유출을 초래할 수 있습니다.

5월 22일 자 advisory 업데이트에서 Drupal은 악용 시도가 감지되었다고 확인했습니다.

“위험 점수가 업데이트되어 현재 악용 시도가 실제 환경에서 감지되고 있음을 반영합니다,” 라고 업데이트된 advisory에 적혀 있습니다.

Drupal은 이 취약점을 “매우 심각함”으로 평가하고 내부 점수 25점 만에 23점을 부여했습니다. 그러나 NIST는 CVSS v