극히 심각한 Drupal 코어 결함, PostgreSQL 사이트를 원격 코드 실행 공격에 노출

출처: The Hacker News

[Image: Drupal 결함]

취약점 개요

Drupal은 원격 코드 실행, 권한 상승 또는 정보 유출에 악용될 수 있는 매우 심각한 Drupal Core 취약점에 대한 보안 업데이트를 발표했습니다.

이 문제는 CVE‑2026‑9082 로 추적되며 CVSS 점수는 6.5/10 입니다. 데이터베이스 추상화 API에 존재하며, 이 API는 쿼리를 검증하고 SQL 인젝션을 방지하는 역할을 합니다.

“이 API의 취약점으로 인해 공격자는 특수하게 조작된 요청을 전송할 수 있으며, PostgreSQL 데이터베이스를 사용하는 사이트에서는 임의의 SQL 인젝션이 발생합니다. 이는 정보 유출을 초래하고, 경우에 따라 권한 상승, 원격 코드 실행 또는 기타 공격으로 이어질 수 있습니다.” – Drupal 보안 권고

이 결함은 익명 사용자가 악용할 수 있으며, PostgreSQL을 데이터베이스 백엔드로 사용하는 사이트에만 영향을 미칩니다.

영향을 받는 버전

다음 릴리스에서 해당 문제를 해결했습니다:

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10

[Image: ThreatLocker]

Drupal 7은 영향을 받지 않습니다.

패치 및 업데이트 정보

지원되는 브랜치(버전 11.3, 11.2, 10.6, 10.5)에는 Symfony와 Twig에 대한 상위 보안 업데이트도 포함되어 있으므로 최신 릴리스를 설치하는 것이 필수적입니다.

수명 종료(EOL) 브랜치인 Drupal 9와 Drupal 8에 대해서는 수동 패치가 제공됩니다:

• Drupal 9.5
• Drupal 8.9

수명 종료 버전

“Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x 이하 버전은 수명 종료(EOL) 상태이며 보안 지원을 받지 못합니다. Drupal 8과 Drupal 9도 모두 수명 종료되었습니다.” – Drupal

이 문제의 심각성 때문에 지원되지 않는 릴리스에 대한 패치는 최선의 노력으로 제공되지만, 해당 버전에는 아직 공개되지 않은 다른 취약점이 존재할 수 있습니다.