A CISA elrendelte, hogy az amerikai kormányzati szerveknek legkésőbb szerdáig frissíteniük kell rendszereiket a Drupal tartalomkezelő rendszer (CMS) egy aktívan kihasznált SQL injection sérülékenység miatt.

A Drupal-t jellemzően olyan nagy szervezetek használják, amelyek hatalmas adatstruktúrákat és több telephelyes telepítéseket kezelnek. Ilyenek például a kormányzati szervek, oktatási szervezetek, nagyobb kutatóegyetemek és magas rangú vállalatok és médiaszervezetek.

A szóban forgó CVE-2026-9082 azonosítón nyilván tartott sebezhetőséget Michael Maturi, a Google/Mandiant kutatója fedezte fel. A hiba lehetővé teszi a támadók számára, hogy hitelesítés nélkül speciálisan létrehozott kérések segítségével tetszőleges SQL parancsokat futtassanak a PostgreSQL-alapú weboldalakon. A sérülékenység sikeres kihasználása információhozzáféréshez, jogosultságeszkalációhoz és távoli kódfuttatáshoz vezethet.

A Drupal a javítás kiadása előtt „rendkívül kritikusnak” minősítette a sérülékenységet, ugyanis több aktív kihasználási kísérletet is észleltek. Az Imperva több mint 15.000 támadási kísérletről számolt be, ezek közül 6000 támadás egyedi weboldalt érintett 65 különböző országban. A kampány során elsősorban játék- és pénzügyi szolgáltatásokkal foglalkozó weboldalakat vettek célba, amelyek a támadások 50%-át teszik ki. Az internetbiztonsági incidensek monitorozásával foglalkozó Shadowserver jelenleg közel 670 online elérhető potenciálisan sérülékeny Drupal rendszert azonosított Észak-Amerikában (272 db) és Európában (273 db).

Előző hét pénteken a CISA felvette a sérülékenységet az ismerten kihasznált sebezhetőségeket tartalmazó KEV (Known Exploited Vulnerabilities) katalógusába és arra utasította az Egyesült Államok szövetségi polgári végrehajtó hatalmi ágának ügynökségeit (FCEB), hogy május 27-ig javítsák rendszereiket a kötelező érvényű BOD 22-01 irányelv előírásainak megfelelően. Bár a CISA csak a FCEB számára teheti kötelezővé a javítást, minden érintett számára erősen javasolt a frissítések mielőbbi telepítése.