أصدرت منصة دروبال تحديثات أمنية لمعالجة ثغرة أمنية “شديدة الخطورة” في نواة المنصة، والتي يمكن للمهاجمين استغلالها لتنفيذ تعليمات برمجية عن بعد، أو رفع صلاحيات المستخدم، أو الكشف عن معلومات حساسة. وتُعد هذه الثغرة الأمنية، التي تحمل الاسم الرمزي CVE-2026-9082، مصدر قلق كبير لمسؤولي الأنظمة الذين يعتمدون على دروبال.
وقد تم تصنيف هذه الثغرة ضمن فئة الخطورة العالية، حيث سجلت 6.5 من أصل 10 على مقياس CVSS، مما يشير إلى إمكانية استغلالها بفعالية. وتكمن المشكلة في واجهة برمجة التطبيقات الخاصة بالتعامل مع قواعد البيانات في نواة دروبال، والتي تهدف إلى التحقق من صحة الاستعلامات وحمايتها من هجمات حقن SQL.
ثغرة خطيرة في دروبال تهدد مواقع PostgreSQL
ووفقاً للمصدر، فإن الخلل الموجود في واجهة التعامل مع قواعد البيانات يسمح للمهاجمين بإرسال طلبات مصممة خصيصاً، مما يؤدي إلى حقن SQL عشوائي في المواقع التي تستخدم قواعد بيانات PostgreSQL. هذا النوع من الهجوم يمكن أن يؤدي إلى الكشف عن معلومات حساسة، وفي بعض الحالات، قد يتيح للمهاجمين رفع صلاحياتهم، أو تنفيذ تعليمات برمجية عن بعد، أو شن هجمات أخرى.
وتؤثر هذه الثغرة الأمنية على المستخدمين المجهولين، وتشكل خطراً على المواقع التي تعتمد بشكل خاص على قواعد بيانات PostgreSQL. وقد شملت التحديثات الأمنية الأخيرة الإصدارات التالية من دروبال لتقديم الحل اللازم: Drupal 11.3.10، Drupal 11.2.12، Drupal 11.1.10، Drupal 10.6.9، Drupal 10.5.10، و Drupal 10.4.10.
الإصدارات المتأثرة وغير المتأثرة
من جهة أخرى، أفادت دروبال بأن الإصدار Drupal 7 غير متأثر بهذه الثغرة الأمنية. وتجدر الإشارة إلى أن التحديثات للإصدارات المدعومة (مثل 11.3، 11.2، 10.6، و 10.5) تتضمن تحديثات أمنية خارجية لمكونات Symfony و Twig، مما يجعل تثبيت أحدث الإصدارات أمراً بالغ الأهمية.
وبينما تم إصدار تصحيحات يدوية للإصدارات الأقدم مثل Drupal 9 و 8 التي تجاوزت فترة الدعم، إلا أن هذه الإصدارات تعتبر الآن خارج نطاق التغطية الأمنية. على الرغم من ذلك، تم توفير هذه التصحيحات كهبة حسن نية نظراً لخطورة الثغرة، مع التنبيه إلى أن هذه الإصدارات غير المدعومة قد تحتوي على ثغرات أمنية سابقة لم يتم معالجتها.