أصدر مشروع Drupal تحديثات أمنية لمعالجة ثغرة عالية الخطورة في نواة نظام إدارة المحتوى المفتوح المصدر، قد تتيح لمهاجمين غير موثقين تنفيذ حقن SQL ضد مواقع تستخدم قواعد بيانات PostgreSQL.
الثغرة، المسجلة بالمعرف CVE-2026-9082 ضمن النشرة الأمنية SA-CORE-2026-004، تؤثر في واجهة برمجة تطبيقات تجريد قواعد البيانات داخل Drupal، وهي طبقة مصممة أصلاً لتنقية الاستعلامات والحد من هجمات حقن SQL. ووفق Drupal، يمكن استغلال الخلل عبر طلبات مصممة خصيصاً، بما يؤدي إلى حقن SQL عشوائي في المواقع المعتمدة على PostgreSQL.
أوضحت النشرة الرسمية الصادرة يوم الأربعاء 20 مايو 2026 أن الاستغلال يمكن أن يتم من مستخدمين مجهولين، وقد يؤدي إلى كشف معلومات، وفي بعض الحالات إلى تصعيد الامتيازات أو تنفيذ تعليمات برمجية عن بعد أو هجمات أخرى. وأشار تحديث لاحق في 22 مايو 2026 إلى تعديل درجة الخطر بعد رصد محاولات استغلال في الواقع.
تشمل الإصدارات المتأثرة فروعاً عدة من Drupal 8 و9 و10 و11، فيما تتوافر التحديثات للإصدارات المدعومة Drupal 11.3.10 و11.2.12 و11.1.10 وDrupal 10.6.9 و10.5.10 و10.4.10. كما وفر المشروع رقعاً محدودة كأفضل جهد لبعض الإصدارات غير المدعومة، مع التنبيه إلى أن هذه الفروع تبقى معرضة لثغرات أخرى سبق الكشف عنها.
وتنحصر ثغرة حقن SQL الأساسية في المواقع التي تستخدم PostgreSQL، إلا أن حزمة التحديثات نفسها تتضمن أيضاً إصلاحات أمنية مرتبطة بمكونات Symfony وTwig قد تهم جميع المواقع بحسب الإعدادات والوحدات الإضافية المستخدمة. لذلك أوصى Drupal بتحديث التبعيات حتى في الحالات التي لا ينطبق فيها خلل PostgreSQL مباشرة على الموقع.
وأفاد تحليل تقني نشرته Akamai بأن الخلل يرتبط بطريقة التعامل مع مفاتيح مصفوفات PHP وتحويلها إلى أسماء عناصر نائبة داخل الاستعلامات، وأن بيئات Drupal الأكثر عرضة تشمل المواقع التي تستخدم PostgreSQL مع مكونات مثل JSON:API أو مرشحات Views المكشوفة أو نقاط Entity autocomplete. ووفقاً للتحليل، قد يتيح الاستغلال الناجح تجاوز المصادقة أو استخراج بيانات حساسة مثل تجزئات كلمات المرور عبر تقنيات استخراج غير مباشرة.
كانت SecurityWeek قد ذكرت أن مطوري Drupal نبهوا المستخدمين قبل إصدار التصحيح إلى احتمال تطوير استغلال خلال ساعات أو أيام من الكشف، وهي إشارة تفسر الطابع العاجل للتحديث، خصوصاً أن الثغرات المصنفة Highly Critical في Drupal لا تظهر بوتيرة متكررة.
