Kerentanan Kritis yang Mengguncang Ekosistem Drupal
Platform Drupal merupakan salah satu Content Management System (CMS) enterprise paling banyak digunakan di dunia. Ribuan organisasi pemerintahan, institusi pendidikan, perusahaan keuangan, media, dan organisasi besar mengandalkan Drupal untuk menjalankan situs web dan aplikasi digital mereka.
Pada Mei 2026, tim keamanan Drupal mengumumkan kerentanan kritis CVE-2026-9082, sebuah kelemahan SQL Injection pada Drupal Core yang memungkinkan pengguna anonim menjalankan query SQL arbitrer terhadap situs yang menggunakan database PostgreSQL. Kerentanan ini dianggap sangat serius karena tidak memerlukan autentikasi dan dapat berujung pada pencurian data, eskalasi hak akses, hingga Remote Code Execution (RCE)
Imperva melaporkan bahwa hanya dalam beberapa hari setelah pengungkapan, mereka telah mengamati lebih dari 15.000 percobaan serangan yang menargetkan hampir 6.000 situs Drupal di 65 negara.
Mengenal CVE-2026-9082
Kerentanan ini berasal dari komponen Database Abstraction API milik Drupal yang seharusnya bertugas melakukan sanitasi query dan mencegah SQL Injection.
Namun pada implementasi tertentu yang menggunakan PostgreSQL, penyerang dapat mengirim request yang dirancang secara khusus sehingga menghasilkan eksekusi SQL arbitrer.
Informasi Kerentanan
| Parameter | Detail |
|---|---|
| CVE | CVE-2026-9082 |
| Jenis | SQL Injection |
| Severity | Critical |
| CVSS | 9.8 |
| Akses | Remote |
| Autentikasi | Tidak diperlukan |
| Database Terdampak | PostgreSQL |
| Produk | Drupal Core |
Mengapa Kerentanan Ini Sangat Berbahaya?
Berbeda dengan banyak kerentanan aplikasi web yang membutuhkan akun pengguna atau konfigurasi tertentu, CVE-2026-9082 dapat dieksploitasi oleh siapa saja yang dapat mengakses endpoint Drupal yang rentan.
Drupal menjelaskan bahwa eksploitasi berhasil dapat menyebabkan:
-
Pengungkapan data sensitif.
-
Eskalasi hak akses.
-
Manipulasi database.
-
Remote Code Execution.
-
Serangan lanjutan terhadap server.
Potensi Dampak
| Dampak | Risiko |
|---|---|
| Data Exposure | Kebocoran informasi pelanggan |
| Privilege Escalation | Pengambilalihan akun administrator |
| Database Manipulation | Perubahan data |
| Remote Code Execution | Kendali server |
| Persistence | Penanaman backdoor |
Bagaimana Eksploitasi Terjadi?
Analisis teknis menunjukkan bahwa akar masalah berada pada penanganan query PostgreSQL dalam Drupal.
Peneliti menemukan jalur eksploitasi yang dapat diakses tanpa login, termasuk:
-
Endpoint JSON Login.
-
JSON:API Filter Parameters.
Penyerang memanfaatkan parameter tertentu untuk menyisipkan payload SQL yang dapat mengubah struktur query yang dijalankan Drupal terhadap database PostgreSQL.
Alur Serangan
| Tahap | Aktivitas |
|---|---|
| 1 | Penyerang mengirim request khusus |
| 2 | Parameter dimanipulasi |
| 3 | Query PostgreSQL berubah |
| 4 | SQL Injection terjadi |
| 5 | Data diakses atau dimodifikasi |
| 6 | Serangan lanjutan dilakukan |
Aktivitas Serangan Sudah Terjadi Secara Global
Yang membuat situasi semakin serius adalah kecepatan adopsi eksploitasi oleh pelaku ancaman.
Imperva mencatat:
-
Lebih dari 15.000 percobaan serangan.
-
Hampir 6.000 situs menjadi target.
-
Aktivitas berasal dari 65 negara.
-
Sektor gaming dan layanan keuangan menjadi target utama.
Statistik Serangan Awal
| Indikator | Nilai |
|---|---|
| Attack Attempts | >15.000 |
| Target Sites | Hampir 6.000 |
| Negara Terdampak | 65 |
| Sektor Utama | Gaming & Financial Services |
Sebagian besar aktivitas yang diamati masih berupa reconnaissance dan probing, tetapi pola serangan menunjukkan upaya untuk mengidentifikasi situs rentan sebelum berpindah ke tahap eksploitasi penuh.
CISA Langsung Masukkan ke KEV Catalog
Kurang dari 48 jam setelah patch dirilis, Cybersecurity and Infrastructure Security Agency (CISA) memasukkan CVE-2026-9082 ke dalam Known Exploited Vulnerabilities (KEV) Catalog.
Langkah ini biasanya hanya dilakukan ketika terdapat bukti nyata bahwa kerentanan sedang dieksploitasi di dunia nyata.
Arti Masuk KEV Catalog
| Status | Makna |
|---|---|
| Public Disclosure | Informasi tersedia publik |
| Active Exploitation | Serangan telah terjadi |
| High Priority | Patch harus diprioritaskan |
| Elevated Risk | Risiko tinggi bagi organisasi |
Versi Drupal yang Terdampak
Menurut advisory resmi Drupal, kerentanan memengaruhi berbagai versi Drupal Core.
Versi Rentan
| Versi Rentan | Versi Perbaikan |
|---|---|
| 8.9.x | Patch tersedia |
| 10.4.x | 10.4.10 |
| 10.5.x | 10.5.10 |
| 10.6.x | 10.6.9 |
| 11.1.x | 11.1.10 |
| 11.2.x | 11.2.12 |
| 11.3.x | 11.3.10 |
Perlu dicatat bahwa kerentanan ini secara khusus memengaruhi implementasi Drupal yang menggunakan PostgreSQL sebagai backend database.
Bagaimana Imperva Melindungi Pelanggannya?
Imperva menyatakan bahwa pelanggan yang menggunakan solusi WAF mereka telah mendapatkan perlindungan terhadap eksploitasi CVE-2026-9082.
Perlindungan tersebut mencakup:
-
Deteksi payload SQL Injection.
-
Analisis request JSON API.
-
Pemblokiran pola eksploitasi.
-
Inspeksi parameter berbahaya.
-
Threat intelligence yang diperbarui secara otomatis.
Lapisan Proteksi
| Fitur | Fungsi |
|---|---|
| Cloud WAF | Memblokir eksploitasi |
| Request Inspection | Analisis payload |
| Threat Intelligence | Deteksi serangan baru |
| Virtual Patching | Perlindungan sebelum upgrade |
Langkah Mitigasi yang Direkomendasikan
Organisasi yang menggunakan Drupal perlu segera melakukan verifikasi dan patching.
Checklist Mitigasi
| Langkah | Prioritas |
|---|---|
| Upgrade Drupal Core | Sangat Tinggi |
| Identifikasi penggunaan PostgreSQL | Sangat Tinggi |
| Audit JSON:API Endpoint | Tinggi |
| Tinjau log akses | Tinggi |
| Implementasi WAF | Tinggi |
| Monitoring aktivitas database | Tinggi |
| Vulnerability Scanning | Tinggi |
Selain melakukan upgrade, administrator juga disarankan memeriksa log untuk aktivitas mencurigakan pada endpoint JSON:API dan login JSON karena keduanya termasuk jalur eksploitasi yang diamati di lapangan.
Dampak bagi Organisasi di Indonesia
Drupal banyak digunakan oleh:
-
Instansi pemerintah.
-
Universitas.
-
Media online.
-
Organisasi nirlaba.
-
Portal layanan publik.
-
Perusahaan besar.
Risiko Bisnis
| Area | Dampak |
|---|---|
| Portal Publik | Kebocoran data |
| Sistem Administrasi | Eskalasi hak akses |
| Database Pelanggan | Eksfiltrasi data |
| Infrastruktur Web | Kompromi server |
| Reputasi Organisasi | Penurunan kepercayaan |
Karena eksploitasi dapat dilakukan tanpa autentikasi, organisasi yang masih menjalankan versi rentan memiliki risiko tinggi menjadi target pemindaian otomatis maupun serangan massal.
Kesimpulan
CVE-2026-9082 merupakan salah satu kerentanan Drupal paling serius yang muncul pada tahun 2026. Kerentanan SQL Injection ini memungkinkan pengguna anonim mengeksploitasi situs Drupal berbasis PostgreSQL melalui endpoint yang dapat diakses publik. Dampaknya dapat mencakup kebocoran data, eskalasi hak akses, hingga Remote Code Execution.
Dengan lebih dari 15.000 percobaan serangan yang telah diamati Imperva dan masuknya CVE-2026-9082 ke dalam katalog KEV milik CISA hanya beberapa hari setelah pengungkapan, organisasi tidak memiliki banyak waktu untuk menunda mitigasi. Langkah paling penting saat ini adalah memastikan Drupal telah diperbarui ke versi yang telah ditambal, melakukan audit terhadap implementasi PostgreSQL, serta menerapkan perlindungan tambahan seperti WAF untuk mengurangi risiko eksploitasi selama proses patching berlangsung.
Imperva Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Imperva.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
