CISA 警示 Drupal SQL 注入漏洞已被實際攻擊 風險評為超重大級

美國網路安全暨基礎設施安全局（CISA）發布緊急警示，指出開源內容管理系統 Drupal 的 SQL 注入漏洞 CVE-2026-9082 已被駭客用於實際攻擊。該漏洞被 Drupal 官方評為 20/25 分（滿分 25 分）的「超重大級」風險，CISA 已將其加入「已遭利用漏洞清單」（KEV），要求美國聯邦機構在指定期限內完成修補，企業組織亦應立即採取行動。

CVE-2026-9082 為 Drupal 核心模組中的 SQL 注入漏洞，攻擊者可透過構造特定請求繞過資料輸入驗證，直接對後端資料庫執行任意 SQL 指令。成功利用此漏洞的攻擊者可取得網站完整管理權限、竊取資料庫內容（包含使用者帳號、密碼雜湊、敏感資料）、植入後門程式、或進一步橫向滲透到其他系統。Drupal 官方在發現漏洞後迅速釋出修補版本，並透過官方安全通告呼籲所有用戶立即升級。

CISA 將此漏洞加入 KEV 清單的時間僅在 Drupal 官方修補釋出後兩天，反映威脅情資顯示已有駭客團體積極利用此漏洞攻擊未修補的 Drupal 站點。CISA 同時要求所有聯邦機構在 21 天內完成相關系統修補，否則須提供具體緩解措施與風險評估報告。這個時程相較 CISA 一般 KEV 漏洞的 14 至 28 天修補要求，屬於中等緊急程度，但鑑於 Drupal 在政府、教育、媒體等領域的廣泛使用，實際影響範圍可能非常龐大。

Drupal 全球用量據估計超過 100 萬個網站，包含許多美國聯邦與州政府網站、大型教育機構網站、知名媒體與企業官網。雖然 Drupal 在過去幾年市佔率被 WordPress 與其他平台逐步追趕，但其在大型、複雜、需高度客製化的網站專案中仍具難以取代的地位。CVE-2026-9082 的影響範圍因此可能涵蓋大量高敏感性網站，攻擊成功的後果可能極為嚴重。

從攻擊技術角度看，SQL 注入是最古老但至今仍最常見的網站漏洞類型之一。儘管現代開發框架普遍提供 ORM（物件關係映射）與參數化查詢等防禦機制，但在大型專案中，舊有程式碼、第三方模組、自訂查詢等仍可能存在 SQL 注入漏洞。CVE-2026-9082 的出現提醒所有開發者與資安團隊，即便是高度成熟的開源專案也可能存在尚未被發現的嚴重漏洞，定期安全稽核與及時修補至關重要。

從產業意義看，這次事件凸顯開源軟體安全治理的長期挑戰。Drupal 作為開源專案依靠社群志願者維護核心程式碼，雖然能提供豐富的功能與彈性，但安全審查資源相對有限。隨著開源軟體在企業與政府關鍵系統中扮演越來越核心的角色，如何建立可持續的開源安全資金與人力支援機制，已成為全球資安界與政策制定者必須面對的議題。

對企業 IT 與資安團隊而言，CVE-2026-9082 提供了一個明確的行動清單：第一，立即盤點所有使用 Drupal 的網站與系統；第二，升級至 Drupal 官方發布的安全修補版本；第三，檢查網站日誌是否有可疑的 SQL 查詢嘗試；第四，啟用 WAF（Web 應用程式防火牆）並更新規則庫；第五，對於已遭入侵跡象的系統，啟動完整的事件回應流程。

業界分析人士指出，此次事件也展現 CISA KEV 清單作為「資安行動指引」的有效性。KEV 清單從 2021 年推出以來，已收錄超過 1,200 個被實際利用的漏洞，提供企業與政府明確的優先修補方向。相較單純的 CVE 編號或 CVSS 評分，KEV 清單因為標註「已被實際利用」而具備更強的行動驅動力，許多企業已將其納入內部資安管理流程的核心參考。

短期內，全球 Drupal 用戶將進入大規模修補期，未及時修補的網站可能面臨高度入侵風險。中長期觀察重點則在於 Drupal 社群是否能進一步強化安全治理機制、CISA KEV 模式是否會被更多國家資安機構採用，以及企業組織是否能建立更主動的漏洞情資監控與快速回應能力，這些將共同決定全球資安韌性的長期發展水準。