Drupal修補重大SQL注入資安漏洞,並破例為已停止支援版本發布更新
值得留意的是,雖然Drupal強調此漏洞只影響採用PostgreSQL的網站,不過他們也對第三方元件Symfony與Twig進行修補,因此對於不受CVE-2026-9082影響的網站,他們呼籲用戶還是要升級新版Drupal。
另一方面,我們可從Drupal開發團隊的下列兩項舉動,看到他們認定CVE-2026-9082極為嚴重。首先,該團隊於上述公告發布的兩天前進行預告,們將在世界協調時間(UTC)5月20日17:00至21:00之間發布更新,希望網站管理員能事先保留時間更新Drupal網站,以防攻擊者不久後就開發出漏洞利用工具,並用於實際攻擊的可能性。另一方面,Drupal破例為已終止支援的11.1、10.4版發布更新,也為更舊的8.9和9.5版提供手動修補程式,除非漏洞特別嚴重,否則開發團隊通常不會這麼做。
Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18
There will be a Drupal core security release for all supported branches on May 20, 2026, between 17:00 and 21:00 UTC. (To see this in your local timezone, refer to the Drupal Core Calendar.) The Drupal Security Team urges you to reserve time for core updates at that time because exploits might be developed within hours or days. Not all configurations are affected. Reserve time
www.drupal.org
Comments (0)