Drupal Core 睽違約 7 年再現「極度危險」級漏洞，Motiya 呼籲企業緊急確認數據庫類型與應對現況

Motiya 株式會社針對 Drupal.org 發布的 Drupal Core 官方安全公告 SA-CORE-2026-004，向所有使用 Drupal 的企業與團體發出呼籲，特別是針對使用 PostgreSQL 數據庫的 Drupal 網站，應立即進行影響評估與更新狀態確認。

本次漏洞編號為 CVE-2026-9082，屬於 SQL 注入（SQL injection）漏洞，Drupal.org 給出的風險評估為「Highly critical 20/25」。根據官方說明，在 PostgreSQL 環境下的網站，攻擊者可透過精心構造的請求觸發任意 SQL 注入，進而導致資訊洩漏、權限提升、遠程代碼執行（RCE）及其他形式的攻擊。此外，該漏洞可被匿名使用者利用，風險極高。

雖然此 SQL 注入漏洞主要影響使用 PostgreSQL 的 Drupal 網站，但官方建議非 PostgreSQL 數據庫的網站也應將此視為例行安全更新，儘速確認版本內容與對應方針。

Motiya 在官方正式公告前，便已針對預告內容、風險評分意義、歷史重大漏洞案例及各版本所需的前置作業發布解析文章。隨著正式資訊揭露，Motiya 再次敦促 Drupal 使用企業採取緊急行動。

### 安全公告概要
- **安全公告編號:** SA-CORE-2026-004
- **正式名稱:** Drupal core - Highly critical - SQL injection - SA-CORE-2026-004
- **發布日期:** UTC 2026年5月20日 / 日本時間 2026年5月21日凌晨
- **CVE:** CVE-2026-9082
- **風險評估:** Highly critical 20/25 (極度危險)
- **主要影響對象:** 使用 PostgreSQL 數據庫的 Drupal 網站
- **利用條件:** 可由匿名使用者觸發
- **潛在影響:** 資訊洩漏、權限提升、遠程代碼執行、其他攻擊

本次事件是自 2019 年 SA-CORE-2019-003 以來，Drupal Core 時隔約 7 年再次出現「Highly critical」等級的重大安全公告。Motiya 強調，鑑於此漏洞的異常嚴重性及發布後的黃金應對期，若企業尚未收到運維單位或外包商的通知，或不確定自家網站是否使用 PostgreSQL，應立即主動展開調查與修復。