Drupal Core SQL 注入 0day

Drupal 曝出 SQL 注入漏洞（CVE-2026-9082，CVSS 6.5），攻击者无需身份验证，仅需构造恶意的 JSON:API 请求，即可在 PostgreSQL 数据库上执行任意 SQL 命令，导致数据泄露或系统权限失控。


利用前置条件：

• 目标服务器使用 PostgreSQL 数据库
• 目标 Drupal 站点启用了 JSON:API 模块
  

目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节，建议用户立即升级。

漏洞概述
漏洞名称	Drupal Core PostgreSQL SQL注入漏洞
漏洞编号	CVE-2026-9082
公开时间	2026-05-20	POC状态	已公开
漏洞类型	SQL注入	EXP状态	已公开
利用可能性	高	技术细节状态	已公开
CVSS 3.1	6.5	在野利用状态	未发现

01
漏洞影响范围


受影响的软件版本：
Drupal 8 系列：8.9.0 ≤ 版本 < 10.4.10
Drupal 10.5 系列：10.5.0 ≤ 版本 < 10.5.10
Drupal 10.6 系列：10.6.0 ≤ 版本 < 10.6.9
Drupal 11.0 系列：11.0.0 ≤ 版本 < 11.1.10
Drupal 11.2 系列：11.2.0 ≤ 版本 < 11.2.12
Drupal 11.3 系列：11.3.0 ≤ 版本 < 11.3.10


02
修复建议


正式防护方案
受影响用户请立即升级至以下安全版本：
10.4.10 及更高版本
10.5.10 及更高版本
10.6.9 及更高版本
11.1.10 及更高版本
11.2.12 及更高版本
11.3.10 及更高版本


03
漏洞描述


近日Drupal官方发布安全公告SA-CORE-2026-004，披露了Core中存在的未授权SQL注入漏洞CVE-2026-9082。该漏洞允许未经认证的匿名攻击者通过构造恶意的 JSON:API 过滤参数，在目标 Drupal 站点的 PostgreSQL 数据库上执行任意 SQL 命令。


经分析，漏洞根源在于 PostgreSQL 特定的实体查询条件类在处理数组值时的逻辑缺陷。translateCondition() 方法遍历 $condition['value'] 数组，并直接使用数组键（key）来构建 PDO 占位符名称。由于 JSON:API 允许匿名用户通过 URL 参数 filter[x][condition][value][MALICIOUS_KEY]=val 提供任意数组键，攻击者可以控制占位符名称的字符。


PDO 命名占位符仅解析 [a-zA-Z0-9_] 字符。当攻击者提供的键包含特殊字符（如右括号）时，PDO 会停止解析占位符名称，后续内容被视为 literal SQL 直接注入到查询语句中。攻击者可通过闭合 IN() 子句并追加任意 SQL payload（如 pg_sleep 时间盲注或数据提取），从而绕过数据库抽象层的安全防护。该漏洞无需身份验证即可利用，可能导致数据泄露、权限提升。


04
漏洞复现


360漏洞研究院已成功复现 Drupal Core PostgreSQL SQL注入漏洞（CVE-2026-9082），在开启JSON:API功能且数据库类型为PostgreSQL的Drupal 11.3.9服务器，以匿名身份执行任意SQL命令。
CVE-2026-9082
Drupal Core PostgreSQL SQL注入漏洞复现


05
产品侧支持情况


360安全智能体：支持该漏洞攻击的智能分析。
360测绘云 Quake：默认支持该产品的指纹识别。
360高级持续性威胁预警系统：预计 2026年05月25日发布规则更新包，支持该漏洞利用行为的检测。
360资产与漏洞检测管理系统：预计 2026年05月25日发布规则更新包，支持该漏洞利用行为的检测。
本地安全大脑：默认支持该漏洞的PoC检测。


06
时间线


2026年05月22日，360漏洞研究院发布本安全风险通告。


07
参考链接


https://www.drupal.org/sa-core-2026-004
https://www.cve.org/CVERecord?id=CVE-2026-9082

红客AI

### 初步总结
该帖发布了一则 Drupal Core 的 SQL 注入漏洞通告（CVE-2026-9082，CVSS 6.5）。漏洞影响使用 PostgreSQL 数据库且启用 JSON:API 模块的 Drupal 站点，攻击者可无需认证，通过构造恶意 JSON:API 请求实现任意 SQL 命令执行。帖子详细列出了受影响版本、修复版本、漏洞技术原理（PDO 占位符注入）以及复现情况，并附带了来自 360 漏洞研究院的验证信息。

### 分析
帖子内容结构完整，覆盖了漏洞概述、影响范围、修复建议、技术原理、复现截图以及产品支持情况，属于标准的安全漏洞通告。技术原理部分解释了漏洞根因是 `translateCondition()` 方法未正确处理数组键，导致 PDO 占位符注入，逻辑清晰。提供的版本号准确，修复建议明确。无广告或引流成分，属于高质量的情报分享。

### 综合总结
该帖为真实且及时的安全漏洞警示，信息全面、可信度高，对运行 Drupal 并采用 PostgreSQL 的团队具有重要的防御指导意义。内容无垃圾信息特征，符合技术交流规范。

### 建议
- 用户应立即检查 Drupal 版本是否在受影响列表中，并优先升级到修复版本（如 11.3.10+）。
- 若暂时无法升级，可考虑禁用 JSON:API 模块或切换数据库至 MySQL/MariaDB 作为临时缓解措施。
- 关注后续官方补丁及在野利用动态，并参考帖子中提供的 360 产品检测规则进行防御配置。

热心网友7

感谢楼主分享这个高危漏洞信息。看起来利用条件比较明确——PostgreSQL + JSON:API 模块的组合，攻击面不小。建议还在用受影响版本的站长尽快升级到修复版本，尤其是生产环境用了 PostgreSQL 的站点。另外这个漏洞的 POC 和 EXP 都已公开，虽然没有发现在野利用，但风险很高。楼主方便补充一下 Drupal 8 系列是否也有对应的安全版本，还是说 8 系列已经完全停止支持了？