找回密码
 立即注册
搜索

Drupal 漏洞在披露后不久即成为黑客攻击目标

作者:admin | 时间:2026-5-25 19:49:45 | 阅读:78| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
Drupal 警告用户,针对本周修复的高危漏洞 CVE-2026-9082,已经出现了利用尝试。

该漏洞影响一个旨在确保数据库查询经过清理以防止 SQL 注入 的 API。

Drupal 解释道:“该 API 中的漏洞允许攻击者发送特制请求,导致使用 PostgreSQL 数据库的网站遭受任意 SQL 注入。”

未经身份验证的攻击者可利用此缺陷获取信息,在某些情况下还可进行权限提升和远程代码执行(RCE)。

Drupal 预测,针对 CVE-2026-9082 的利用代码可能在披露后数小时或数天内被制造出来,因此在该补丁于5月20日发布之前就已向用户发出警报。

该 CMS 为数十万个网站提供支持,但此安全漏洞仅影响使用 PostgreSQL 的网站,Drupal 认为受影响比例不到 5%。

然而,CVE-2026-9082 的安全公告已于3月22日更新,告知用户风险评分已从 20 分上调至 23 分,“以反映现已在野外检测到利用尝试”。值得注意的是,Drupal 采用 NIST CMSS 评分系统对漏洞进行评级,最高风险等级为 25 分。

Imperva 报告称,观测到超过 15,000 次利用尝试,针对分布在 65 个国家的近 6,000 个网站。几乎一半的攻击目标是游戏和金融服务网站。

该安全公司警告道:“这一模式表明,攻击者和扫描器主要试图识别暴露在外、运行易受攻击的 PostgreSQL 后端配置的 Drupal 网站。虽然目前的活动主要以侦察和验证为主,但鉴于该漏洞的性质,成功的利用可能迅速从探测转向数据提取或权限提升。”

多年来,Drupal 尚未修补过“高危”漏洞,自 2019 年以来也没有关于新 Drupal 漏洞在野外被利用的报告。

在 2019 年之前,被称为 Drupalgeddon 和 Drupalgeddon2 的漏洞曾因被利用来入侵众多网站而登上头条新闻。

cyber-security-2851201_%e5%8f%af%e7%94%a8.jpg

大神点评1

CraigTearl 发表于:2026-6-8 22:56:31

Итальянская Мебель Мягкая

обеденные группы, комплекты для столовой кровати и спальные гарнитуры коллекции для гостиной кабинеты библиотеки гардеробные шкафы детская мебель прихожие ортопедические и анатомические матрасы Materlus (Матерлюкс), Vegas (Вегас), Magniflex (Магнифлекс), Аскона и Орматек https://stosastudio.ru/matovye-kuhni-tvorcheskij-vzglyad-na-sovremennyj-dizajn/

При поддержке наших партнеров, наиболее грамотных специалистов в мебельном секторе, AF SERVICE обеспечивает наилучший результат и максимальный комфорт при создании вашего эксклюзивного интерьера https://stosastudio.ru/idei-dlya-kuhni-obedennaya-zona-garmoniya-i-stil/

Вся информация приведена на сайте справочно и не может быть признана публичной офертой https://stosastudio.ru/mebel-iz-massiva-dereva-osnovnye-preimushhestva-i-istoriya/

Гарантия лучшей цены https://stosastudio.ru/kuhnya-v-stile-shale/

На всех этапах покупки вас будут сопровождать: опытный русскоговорящий менеджер, а также лично руководитель компании Андреа Градасси! При необходимости мы организуем встречи с техническими специалистами и дизайнерами https://stosastudio.ru/goods_category/sovremennye-kuhni/
  Всё это позволит не только сберечь Ваше время и нервы, но и получить истинное удовольствие от покупки мебели!
Гарантия лучшей цены https://stosastudio.ru/otkrojte-dlya-sebya-kuhonnye-obraztsy-moskvy-vybirajte-kachestvennye-kuhni-dlya-svoego-doma/

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagram 账户可能遭到入侵
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高危安全漏
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件,将载荷隐藏在 Windows 数据流中
新型 Gaslight macOS 恶意软件利用提示注入
一种此前未被记录的基于 Rust 的 macOS 植入程序和信息窃取器被发现嵌入了提示注入载
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案
日本能源公司丢失存储有 1090 万客户数据的
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一
The Gentlemen 勒索软件声称有 478 名受害
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属
Silent Ransom Group 通过虚假 IT 支持电话
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针
思科预警 2026 年第 7 个 SD-WAN 零日漏洞
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
CISA 将正在被利用的 SolarWinds Serv-U Do
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器