Bug SQL Injection Drupal Core Aktif Dieksploitasi, Masuk Daftar CISA KEV

Bug SQL Injection pada Drupal Core telah menjadi perhatian serius setelah dimasukkan ke dalam daftar Known Exploited Vulnerabilities (KEV) oleh Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat. Kerentanan yang diberi kode CVE-2026-9082 ini telah terbukti aktif dieksploitasi oleh pelaku kejahatan siber, memaksa pengembang Drupal untuk merilis patch keamanan secara mendesak.

Detail Kerentanan dan Dampaknya

Kerentanan ini merupakan SQL Injection yang mempengaruhi semua versi dukungan Drupal Core, dengan skor CVSS sebesar 6.5. Menurut CISA, bug ini memungkinkan pelaku berbahaya untuk melakukan eskalasi hak akses dan eksekusi kode jarak jauh melalui permintaan khusus yang dikirim menggunakan database abstraction API Drupal.

"Drupal Core mengandung kerentanan SQL injection yang bisa memungkinkan eskalasi hak akses dan eksekusi kode jarak jauh melalui permintaan yang dirancang khusus menggunakan API abstraksi basis data," jelas CISA.

Berita tentang eksploitasi muncul kurang dari dua hari setelah Drupal merilis pembaruan keamanan untuk menutup celah ini. Meski begitu, hingga saat ini belum diketahui secara pasti bagaimana metode eksploitasi yang digunakan dan apa tujuan akhir dari serangan tersebut.

Patch Keamanan Drupal yang Tersedia

Pengguna Drupal disarankan untuk segera menerapkan patch yang telah tersedia untuk berbagai versi berikut:

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10
• Drupal 9.5 (memerlukan patch manual)
• Drupal 8.9 (memerlukan patch manual)

Pembaruan ini sangat penting untuk mencegah serangan yang dapat merusak data dan mengakses sistem secara ilegal.

Serangan dan Target Utama

Pada pembaruan advisori tanggal 22 Mei 2026, Drupal mengakui bahwa "percobaan eksploitasi sudah terdeteksi di lapangan." Perusahaan keamanan siber Imperva, yang dimiliki oleh Thales, melaporkan telah memantau lebih dari 15.000 percobaan serangan yang menargetkan hampir 6.000 situs di 65 negara.

"Serangan terutama menargetkan situs di sektor game dan layanan keuangan, yang menyumbang hampir 50% dari total serangan," ungkap Imperva. "Sebagian besar aktivitas yang teramati saat ini berupa pemindaian dan pengujian celah."

Imperva juga menambahkan bahwa pola serangan ini menunjukkan bahwa pelaku berusaha mengidentifikasi situs Drupal yang rentan terutama yang menggunakan konfigurasi PostgreSQL. Meskipun saat ini serangan masih didominasi oleh aktivitas pengintaian, sifat kerentanan ini memungkinkan eskalasi cepat dari pemindaian menjadi ekstraksi data atau eskalasi hak akses.

Anjuran Resmi dan Perlindungan

Otoritas Federal Civilian Executive Branch (FCEB) di Amerika Serikat telah menganjurkan agar semua instansi segera menerapkan patch keamanan ini paling lambat 27 Mei 2026 untuk melindungi sistem mereka secara optimal.

Analisis Redaksi

Menurut pandangan redaksi, insiden ini menegaskan bahwa kerentanan pada platform populer seperti Drupal dapat dengan cepat dimanfaatkan dalam skala global, terlebih bila patch keamanan terlambat diterapkan. Eksploitasi aktif dalam hitungan hari setelah rilis patch menunjukkan perlunya sikap proaktif dari administrator situs dalam memperbarui sistem mereka.

Selain itu, fokus serangan pada sektor game dan jasa keuangan menandakan bahwa pelaku berusaha mengincar data bernilai tinggi dan akses yang bisa mendatangkan keuntungan besar. Pemilik situs Drupal harus segera melakukan audit keamanan dan memastikan semua patch terpasang, terutama bagi yang menggunakan konfigurasi PostgreSQL yang lebih rentan.

Ke depannya, publik dan pelaku industri IT perlu mengawasi lebih ketat proses pengamanan CMS serta kesiapan tanggap darurat terhadap peringatan keamanan dari lembaga resmi seperti CISA. Langkah preventif dan edukasi keamanan kepada pengguna Drupal juga menjadi kunci utama untuk menghindari dampak serangan yang lebih luas.

Untuk informasi lebih lanjut dan pembaruan terkini, Anda dapat mengikuti berita resmi melalui The Hacker News dan sumber terpercaya lainnya.