CISA警示Drupal的SQL注入漏洞已被用於實際攻擊

漏洞背景與風險評估

上週內容管理系統Drupal開發團隊修補SQL注入漏洞CVE-2026-9082，根據Drupal本身的風險評估結果為20分（滿分25分），被評為最危險的超重大等級（Highly Critical），顯示其威脅程度極高。

實際攻擊跡象與CISA行動

兩天後，美國網路安全暨基礎設施安全局（CISA）掌握到該漏洞已被實際利用的跡象，並將其加入已遭利用漏洞清單（KEV），強調此類SQL注入漏洞已成為網絡攻擊中常見且危險的攻擊向量。

漏洞影響範圍與攻擊方式

• 該漏洞僅影響使用PostgreSQL資料庫的網站。
• 攻擊者可透過發送特製請求，對網站發動任意結構化查詢語言（SQL）注入攻擊。
• 此攻擊可能導致敏感資訊外洩，部分情況下甚至可實現權限提升，取得網站管理員權限。

相關資訊來源

iThome、Reddit、Facebook、SoHU、LinkedIn 等平臺均有相關報導。

來源：https://www.ithome.com.tw/news/176073