Drupal’daki Güvenlik Açığı
Drupal, uzaktan kod çalıştırma, ayrıcalık yükseltme veya bilgi ifşası gibi tehditlere yol açabilen “yüksek kritik” bir güvenlik açığı için güncellemeler yayımladı. Bu güvenlik açığı CVE-2026-9082 koduyla takip edilmekte ve CVSS puanı 10 üzerinden 6.5 olarak belirlenmiştir.
Saldırı Nasıl Çalışıyor?
Bu zafiyet, Drupal Core’da SQL enjeksiyon saldırılarına karşı sorguları doğrulamak ve temizlemek için kullanılan bir veritabanı soyutlama API’sinde yer almaktadır. Drupal, söz konusu zafiyetin anonim kullanıcılar tarafından istismar edilebileceğini ve yalnızca PostgreSQL veritabanı kullanan siteleri etkilediğini belirtmiştir.
API’deki bir zafiyet, saldırganın özel olarak hazırlanmış istekler göndermesine izin vererek, PostgreSQL kullanan sitelerin genel SQL enjeksiyonuna maruz kalmasına neden olabilir. Bu, bilgi ifşasına ve bazı durumlarda ayrıcalık yükseltmesine veya uzaktan kod çalıştırmaya yol açabilir.
Etkilenen Sistemler
Bu zafiyet nedeniyle etkilenen sürümler şu şekildedir:
- Drupal 11.3.10
- Drupal 11.2.12
- Drupal 11.1.10
- Drupal 10.6.9
- Drupal 10.5.10
- Drupal 10.4.10
Drupal 7 bu zafiyetten etkilenmemektedir. Desteklenen sürümler için yapılan güncellemeler, Symfony ve Twig için üst akış güvenlik güncellemelerini de içermektedir, bu nedenle en son sürümlerin yüklenmesi son derece önemlidir.
Çözüm ve Korunma
Drupal, son sürüm güncellemeleri yanında, sonlandırılmış olan Drupal 9 ve 8 sürümleri için de manuel yamalar sunmuştur. Bununla birlikte, Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x ve daha alt sürümler güvenlik desteği almamaktadır.
Bu sorunun ciddiyeti nedeniyle, desteklenmeyen sürümlerdeki yamalar, en iyi çaba olarak sağlanmaktadır. Bu sürümler, daha önce ifşa edilen diğer güvenlik açıklarına sahip olmaya devam edecektir.
Aksiyon Alın
Önerilen adımlar şunlardır:
- Drupal sitenizi en son sürüm ile güncelleyin (örneğin, 11.3.10 veya 10.6.9)
- PostgreSQL veritabanı kullanan sistemlerde, API üzerinden gelen istekleri dikkatlice izleyin.
- Desteklenmeyen sürümlerden ve yamanması gerekmeyen sistemlerden kaçının.
Bu önlemler, sitenizin güvenliğini artırmak ve olası saldırılara karşı koruma sağlamak için kritik öneme sahiptir.
