Celah SQL Injection Kritis pada Drupal Kini Mulai Ditargetkan dalam Serangan Siber
Pengembang platform Content Management System (CMS) Drupal mengeluarkan peringatan keras terkait adanya upaya eksploitasi aktif oleh peretas terhadap celah keamanan SQL injection berisiko sangat tinggi (highly critical). Celah ini pertama kali diumumkan awal pekan ini, di mana pihak Drupal sempat mengimbau para administrator situs untuk segera menjadwalkan pembaruan core sistem karena potensi serangan yang diprediksi bisa terjadi dalam hitungan jam atau hari.
Kerentanan yang kini dilacak sebagai CVE-2026-9082 tersebut pertama kali ditemukan oleh Michael Maturi, seorang peneliti keamanan dari Google/Mandiant. Celah ini berdampak langsung pada komponen database abstraction API milik Drupal. Melalui celah tersebut, penyerang dapat mengirimkan permintaan (request) khusus yang dirancang untuk memicu eksekusi perintah SQL berbahaya secara sembarangan (arbitrary SQL injection) pada situs-situs Drupal yang terintegrasi dengan sistem basis data PostgreSQL.
SQL injection sendiri merupakan jenis kerentanan klasik di mana aktor ancaman menyisipkan perintah SQL ilegal ke dalam kueri basis data melalui kolom input pengguna atau dialog di sebuah situs web. Dampak dari serangan ini sangat fatal, mulai dari akses data tanpa izin, modifikasi data, hingga penghapusan seluruh informasi penting yang tersimpan di dalam database.
Hal yang membuat kerentanan CVE-2026-9082 ini sangat berbahaya adalah sifatnya yang dapat dieksploitasi dari jarak jauh tanpa memerlukan proses autentikasi (unauthenticated). Jika berhasil dimanfaatkan oleh peretas, celah ini berpotensi membuka jalan bagi eksekusi kode jarak jauh (Remote Code Execution), peningkatan hak akses (privilege escalation), hingga kebocoran informasi sensitif milik pengguna atau perusahaan (information disclosure).
Dalam pembaruan laporan keamanan terbarunya, Drupal mengonfirmasi bahwa aktivitas eksploitasi di ekosistem digital (in the wild) kini sudah mulai terdeteksi. Pihak pengembang langsung menaikkan skor risiko internal mereka menjadi 23 dari skala maksimal 25, yang mengategorikannya sebagai ancaman “highly critical”. Di sisi lain, lembaga NIST memberikan penilaian tingkat keparahan menengah (medium severity) dengan skor CVSS v3 sebesar 6.5.
Kerentanan CVE-2026-9082 dilaporkan berdampak pada spektrum versi Drupal yang cukup luas. Beberapa versi yang terpengaruh meliputi Drupal versi 8.9.x, Drupal versi 10.4.x (sebelum versi 10.4.10), Drupal versi 10.5.x (sebelum versi 10.5.10), serta Drupal versi 10.6.x (sebelum versi 10.6.9). Pada lini rilis yang lebih baru, celah ini juga menjangkiti Drupal versi 11.0.x dan 11.1.x (sebelum versi 11.1.10), Drupal versi 11.2.x (sebelum versi 11.2.12), hingga Drupal versi 11.3.x (sebelum versi 11.3.10).
Para pemilik situs dan administrator TI sangat direkomendasikan untuk segera melakukan upgrade ke versi terbaru yang tersedia pada cabang pembaruan masing-masing. Bagi pengelola situs yang tidak menggunakan basis data PostgreSQL, proses pembaruan ini tetap wajib dilakukan. Sebab, paket pembaruan keamanan terbaru yang dirilis oleh Drupal minggu ini juga mencakup perbaikan penting untuk dependensi hulu (upstream dependencies) sistem, termasuk komponen Symfony dan Twig.
Pihak pengembang juga mengingatkan kembali bahwa dukungan untuk Drupal versi 8 dan 9 sebenarnya telah berakhir (End-of-Life). Meski patch perbaikan untuk versi tersebut tetap disediakan berdasarkan upaya terbaik (best-effort), cabang versi lama tersebut masih menyimpan berbagai celah keamanan lain yang sudah diketahui umum, sehingga terus menggunakannya tanpa migrasi ke versi baru akan membawa risiko keamanan yang sangat besar.
Sumber: Modernet Digital
