Drupal’daki Kritik SQL Enjeksiyon Açığı
Drupal, yakın zamanda ortaya çıkan ve “yüksek kritik” olarak değerlendirilen bir SQL enjeksiyon açığının kötü amaçlı kişiler tarafından istismar edilmeye çalışıldığına dair bir uyarıda bulundu. Bu zafiyet, sistem yöneticilerini acil güncellemeler yapmaya yönlendirmektedir.
Açığın Teknik Detayları
Söz konusu zafiyet, CVE-2026-9082 olarak kaydedilmiş olup, Google/Mandiant araştırmacısı Michael Maturi tarafından keşfedilmiştir. Açık, Drupal’ın veritabanı soyutlama API’sini etkileyerek, PostgreSQL kullanan sitelerde özel olarak hazırlanmış isteklerin rastgele SQL enjeksiyonuna neden olmasına olanak tanımaktadır.
SQL enjeksiyonu, saldırganların kötü niyetli SQL komutlarını web sitelerindeki kullanıcı giriş alanları veya diyalog kutuları aracılığıyla veritabanı sorgularına enjekte ederek yetkisiz erişim sağlamalarına, verileri değiştirmelerine veya silmelerine yol açan bir zayıflıktır.
Bu açık, kimlik doğrulama gerektirmeden istismar edilebilmekte ve uzaktan kod çalıştırma, ayrıcalık yükseltme ve bilgi ifşası gibi ciddi sorunlara yol açabilmektedir.
Mayıs 22’de yapılan güncellemede, Drupal, kötüye kullanım girişimlerinin tespit edildiğini doğrulamıştır. Güncellenen raporda, “Risk skoru, kötüye kullanım girişimlerinin artık tespit edildiğini yansıtmak üzere güncellenmiştir” ifadesi yer almaktadır.
Drupal, bu açığı “yüksek kritik” seviyede değerlendirerek, iç skorlama sisteminde 25 üzerinden 23 puan vermiştir. Ancak, NIST, CVSS v3 skoru 6.5’e dayanarak bu açığı “orta şiddet” olarak değerlendirmiştir.
Etkilenen Sistemler
CVE-2026-9082 zafiyeti, birçok Drupal versiyonunu etkilemektedir:
- Drupal 8.9.x
- Drupal 10.4.x (10.4.10’dan önce)
- Drupal 10.5.x (10.5.10’dan önce)
- Drupal 10.6.x (10.6.9’dan önce)
- Drupal 11.0.x / 11.1.x (11.1.10’dan önce)
- Drupal 11.2.x (11.2.12’den önce)
- Drupal 11.3.x (11.3.10’dan önce)
Web sitesi sahipleri ve yöneticilerin, kullandıkları sürüm için mevcut en son güncellemeye derhal geçmeleri önerilmektedir. PostgreSQL kullanmayanların bile güncelleme yapmaları tavsiye edilmektedir, çünkü en son güvenlik güncellemeleri, Symfony ve Twig gibi yukarı akış bağımlılıkları için de düzeltmeler içermektedir.
Ayrıca, Drupal 8 ve 9 sürümlerinin sonlandığı (EoL) ve yamanın “en iyi çaba” esasına göre sağlandığı belirtilmelidir; ancak bu sürümler hala bilinen diğer açıkları içermekte ve bu nedenle kullanımı risklidir.
Çözüm ve Korunma
Güvenlik açıkları ve olası kötüye kullanımlara karşı aşağıdaki adımları atmanız önemlidir:
- Drupal‘ı en son versiyona güncelleyin.
- PostgreSQL kullanıyorsanız, açıkları engellemek için ek önlemler alın.
- Eski ve sonlandırılmış sürümleri kullanmamaya dikkat edin.
- Güvenlik duvarınızı ve ağ ayarlarınızı gözden geçirin.
Güvenlik açıklarını ve olası tehditleri göz önünde bulundurarak, sistemlerinizin güvenliğini sağlamak için hemen harekete geçmelisiniz.
