Drupal يصحح ثغرة في PostgreSQL قد تؤدي إلى تنفيذ الأوامر عن بُعد

أصدرت Drupal تحديثات أمنية طارئة لـ CVE-2026-9082، وهي ثغرة خاصة بـ PostgreSQL في نواة Drupal. تسمح الثغرة للمهاجمين المجهولين بإرسال طلبات معدلة والتسبب في حقن SQL عشوائي. في أسوأ الحالات، تقول Drupal إن الثغرة قد تؤدي إلى كشف معلومات، أو تصعيد صلاحيات، أو تنفيذ أوامر عن بُعد.

المشكلة خطيرة لأنها تقع في طبقة تجريد قاعدة البيانات في Drupal، وهي كود نادراً ما يفكر فيه مالكو المواقع لأنه من المفترض أن ينقي الاستفسارات قبل وصولها إلى قاعدة البيانات. عندما تتعطل هذه الطبقة، يتسع نطاق الضرر إلى ما بعد وحدة واحدة: الثغرة تؤثر على معالجة الطلبات الأساسية في المواقع التي تستخدم PostgreSQL، مما يعني أن المهاجمين قد لا يحتاجون إلى حساب مصادق عليه لبدء اختبار الوصول.

وفقاً للتفاصيل التي نشرها موقع The Hacker News، الثغرة تؤثر فقط على مواقع Drupal التي تستخدم PostgreSQL بدلاً من MySQL أو MariaDB. أصدرت Drupal إصدارات مصححة للفروع المدعومة بما في ذلك 11.3.10 و11.2.12 و11.1.10 و10.6.9 و10.5.10 و10.4.10. لم تتأثر Drupal 7، بينما تلقت فروع Drupal 8 وDrupal 9 غير المدعومة تصحيحات يدوية بأقصى جهد بسبب خطورة الثغرة.

هذه القائمة من الإصدارات هي إشارة مهمة للمسؤولين. إذا كان الفريق لا يزال يستخدم فرعاً منتهي الصلاحية، فهذا التنبيه يذكّر بأن البرامج غير المدعومة يمكن أن تحول ثغرة قاعدة البيانات بسرعة إلى مشكلة استجابة لحوادث أوسع. حتى بالنسبة للفروع المدعومة، تصحيح الحزمة الأساسية فقط لا يكفي إذا تُركت بيئات الاختبار أو النسخ الاحتياطي أو البيئات الثانوية على إصدارات أقدم.

بالنسبة لفرق الأمن، المهمة الفورية واضحة: تحديد كل موقع Drupal يستخدم PostgreSQL، التحديث إلى الفرع المصحح، ومراجعة السجلات بحثاً عن طلبات غير مصادقة مشبوهة تلامس نقاط النهاية المتعلقة بقاعدة البيانات. المصدر جاء من The Hacker News، بناءً على استشارة أمنية من Drupal وإرشادات الإصدار.