5月20日，内容管理系统Drupal开发团队发布安全公告，修补安全漏洞CVE-2026-9082。该漏洞属于SQL注入类型，存在于Drupal Core的特定数据库抽象API中。该API本用于清理数据库查询语句，以防范SQL注入攻击，但攻击者可利用此漏洞，在使用PostgreSQL数据库的Drupal网站上执行SQL注入，可能导致信息泄露，甚至提升权限或远程执行任意代码。攻击者仅需以匿名用户身份即可利用该漏洞。目前该漏洞尚未公布CVSS严重性评分，但Drupal团队评估其风险等级为20分（满分25分），属于最高危的“极高危”级别。受影响版本为Drupal 8.9.0及以上版本，团队强烈建议用户尽快升级。

值得注意的是，尽管Drupal指出该漏洞仅影响使用PostgreSQL的网站，但团队仍对第三方组件Symfony和Twig进行了修复。因此，即使网站未使用PostgreSQL，也建议用户升级至最新版Drupal，以确保整体系统安全。

此外，Drupal开发团队的两项举措表明CVE-2026-9082被认定为极其严重。首先，团队在公告发布前两天提前预告，将在协调世界时（UTC）5月20日17:00至21:00之间发布更新，提醒网站管理员预留时间升级，以防攻击者迅速开发出利用工具并展开实际攻击。其次，团队罕见地为已停止支持的11.1和10.4版本发布补丁，并为更早的8.9和9.5版本提供手动修复程序——通常情况下，除非漏洞极其严重，否则开发团队不会为已终止支持的版本提供更新。