-
09/04/2020
-
141
-
1.918 bài viết
Drupal cảnh báo lỗ hổng SQL Injection nghiêm trọng đang bị khai thác
Đội ngũ phát triển Drupal vừa phải phát đi cảnh báo khẩn cấp toàn cầu khi một lỗ hổng SQL Injection "siêu nghiêm trọng" đang bị tin tặc tích cực săn lùng và khai thác trong thực tế. Lỗ hổng được định danh là CVE-2026-9082, tấn công trực tiếp vào API trừu tượng hóa cơ sở dữ liệu và mở đường cho kẻ xấu thực thi mã từ xa để chiếm quyền kiểm soát hệ thống.
Ảnh: Bleeping Computer
Theo thông báo từ Drupal, lỗ hổng được phát hiện bởi nhà nghiên cứu Michael Maturi thuộc nhóm Google Mandiant. Vấn đề tồn tại trong cơ chế xử lý truy vấn dành cho cơ sở dữ liệu PostgreSQL, cho phép kẻ tấn công gửi các yêu cầu được chế tạo đặc biệt nhằm chèn câu lệnh SQL độc hại vào quá trình truy vấn dữ liệu.
Đáng chú ý, lỗ hổng có thể bị khai thác mà không cần xác thực tài khoản. Trong kịch bản tấn công, tin tặc có thể truy cập trái phép dữ liệu, leo thang đặc quyền, đánh cắp thông tin nhạy cảm hoặc thậm chí thực thi mã từ xa trên máy chủ mục tiêu. Đây là kiểu lỗ hổng đặc biệt nguy hiểm đối với các hệ thống CMS công khai trên Internet do bề mặt tấn công rộng và khả năng khai thác từ xa.
Dự án Drupal cho biết họ đã phát hiện các nỗ lực khai thác CVE-2026-9082 trong thực tế chỉ vài ngày sau khi công bố bản vá bảo mật. Trước đó, nhóm phát triển từng cảnh báo rằng các cuộc tấn công có thể xuất hiện “trong vòng vài giờ hoặc vài ngày” sau khi thông tin kỹ thuật được tiết lộ công khai. Sau khi ghi nhận hoạt động khai thác, Drupal đã nâng mức cảnh báo nội bộ của lỗ hổng lên mức “highly critical”, với điểm đánh giá rủi ro 23/25. Trong khi đó, hệ thống chấm điểm CVSS v3 của NIST hiện đánh giá lỗ hổng ở mức 6.5.
Theo thông tin cập nhật mới nhất, phạm vi ảnh hưởng của CVE-2026-9082 là cực kỳ rộng lớn, bao trùm hàng loạt phiên bản từ cũ đến mới của hệ quản trị nội dung này. Cụ thể, danh sách các phiên bản chịu tác động bao gồm:
- Drupal 8.9.x
- Drupal 10.4.x trước bản 10.4.10
- Drupal 10.5.x trước bản 10.5.10
- Drupal 10.6.x trước bản 10.6.9
- Drupal 11.0.x và 11.1.x trước bản 11.1.10
- Drupal 11.2.x trước bản 11.2.12
- Drupal 11.3.x trước bản 11.3.10
Trước diễn biến phức tạp khi các cuộc tấn công trong thực tế đã được ghi nhận, các quản trị viên hệ thống và chủ quản website cần lập tức tiến hành nâng cấp lên phiên bản vá lỗi mới nhất thuộc nhánh quản lý của mình.
Đối với các đơn vị vận hành Drupal nhưng không sử dụng cơ sở dữ liệu PostgreSQL, việc cập nhật vẫn là yêu cầu bắt buộc. Trong lần cập nhật này của Drupal còn tích hợp các bản vá quan trọng cho các thành phần phụ thuộc, bao gồm hai framework phổ biến là Symfony và Twig.
Đối với các hệ thống vẫn sử dụng Drupal 8 và Drupal 9, đội ngũ phát triển cảnh báo đây đều là các phiên bản đã hết vòng đời hỗ trợ (EoL). Dù các bản vá vẫn có thể được phát hành trong một số trường hợp, hai nhánh này vẫn tồn tại nhiều lỗ hổng bảo mật chưa được khắc phục. Vì vậy, doanh nghiệp nên sớm nâng cấp lên các phiên bản Drupal mới hơn để đảm bảo an toàn cho hệ thống.
Đối với các đơn vị vận hành Drupal nhưng không sử dụng cơ sở dữ liệu PostgreSQL, việc cập nhật vẫn là yêu cầu bắt buộc. Trong lần cập nhật này của Drupal còn tích hợp các bản vá quan trọng cho các thành phần phụ thuộc, bao gồm hai framework phổ biến là Symfony và Twig.
Đối với các hệ thống vẫn sử dụng Drupal 8 và Drupal 9, đội ngũ phát triển cảnh báo đây đều là các phiên bản đã hết vòng đời hỗ trợ (EoL). Dù các bản vá vẫn có thể được phát hành trong một số trường hợp, hai nhánh này vẫn tồn tại nhiều lỗ hổng bảo mật chưa được khắc phục. Vì vậy, doanh nghiệp nên sớm nâng cấp lên các phiên bản Drupal mới hơn để đảm bảo an toàn cho hệ thống.