关于Drupal Core SQL注入漏洞（CVE-2026-9082）的预警通报

近日，工作发现最新漏洞威胁：Drupal Core SQL注入漏洞CVE-2026-9082

Drupal在处理PostgreSQL数据库查询时，错误地将用户通过API提交的数组键名直接拼接到SQL语句中，且未做任何安全检查。攻击者可以利用这个缺陷，通过JSON:API等接口提交恶意构造的数据，将任意SQL代码注入到数据库查询中，最终导致SQL注入攻击。

目前受影响的Drupal版本：

8.9.0 ≤ Drupal < 10.4.10

10.5.0 ≤ Drupal < 10.5.10

10.6.0 ≤ Drupal < 10.6.9

11.0.0 ≤ Drupal < 11.1.10

11.2.0 ≤ Drupal < 11.2.12

11.3.0 ≤ Drupal < 11.3.10

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。

下载链接：https://www.drupal.org/project/drupal/releases

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告。