دراپال وصله‌ای برای آسیب‌پذیری PostgreSQL منتشر کرد؛ این باگ می‌تواند منجر به اجرای کد از راه دور شود

دراپال به‌روزرسانی‌های امنیتی اضطراری برای CVE-2026-9082 منتشر کرده است. این آسیب‌پذیری در هسته دراپال و مختص PostgreSQL است. مهاجمان ناشناس می‌توانند با ارسال درخواست‌های خاص، تزریق SQL دلخواه انجام دهند. در بدترین حالت، دراپال می‌گوید این باگ منجر به افشای اطلاعات، افزایش دسترسی یا اجرای کد از راه دور می‌شود.

اهمیت این مشکل به خاطر قرارگیری آن در لایه انتزاع پایگاه داده دراپال است. این کدی است که بسیاری از مدیران سایت به ندرت به آن فکر می‌کنند چون قرار است پیش از رسیدن به پایگاه داده، کوئری‌ها را پالایش کند. وقتی این لایه دچار مشکل شود، دامنه تأثیر فراتر از یک ماژول خاص می‌رود: آسیب‌پذیری روی پردازش درخواست‌های هسته در سایت‌هایی که از PostgreSQL استفاده می‌کنند تأثیر می‌گذارد، بنابراین مهاجمان ممکن است بدون نیاز به حساب کاربری معتبر شروع به کاوش برای دسترسی کنند.

بر اساس جزئیات منتشر شده توسط The Hacker News، این نقص فقط روی نصب‌های دراپال که از PostgreSQL استفاده می‌کنند تأثیر دارد، نه MySQL یا MariaDB. دراپال نسخه‌های وصله‌شده را برای شاخه‌های پشتیبانی‌شده از جمله 11.3.10، 11.2.12، 11.1.10، 10.6.9، 10.5.10 و 10.4.10 منتشر کرده است. دراپال 7 تحت تأثیر قرار نگرفته، اما برای شاخه‌های پشتیبانی‌نشده دراپال 8 و 9 به دلیل شدت باگ، وصله‌های دستی ارائه شده است.

این لیست نسخه‌ها نشانه مهمی برای مدیران است. اگر تیمی هنوز از یک شاخه پایان‌یافته استفاده می‌کند، این هشدار یادآوری می‌کند که نرم‌افزار پشتیبانی‌نشده می‌تواند به سرعت یک باگ پایگاه داده را به یک مشکل گسترده واکنش به حادثه تبدیل کند. حتی برای شاخه‌های پشتیبانی‌شده، وصله کردن فقط بسته هسته کافی نیست اگر محیط‌های استیجینگ، پشتیبان یا ثانویه روی بیلدهای قدیمی باقی مانده باشند.

برای تیم‌های امنیتی، کار فوری ساده است: هر سایت دراپال که از PostgreSQL استفاده می‌کند را شناسایی کنید، به نسخه وصله‌شده بروز کنید و لاگ‌ها را برای درخواست‌های مشکوک بدون احراز هویت که به نقاط پایانی مربوط به پایگاه داده برخورد می‌کنند بررسی کنید. منبع این گزارش The Hacker News بر اساس راهنمای امنیتی و انتشار دراپال است.