สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ประกาศเพิ่มช่องโหว่ร้ายแรงที่เพิ่งได้รับการแพตช์ของระบบจัดการเนื้อหา Drupal Core เข้าไปในแคตตาล็อก Known Exploited Vulnerabilities (KEV) หลังจากพบหลักฐานว่ามีการนำช่องโหว่ดังกล่าวไปใช้โจมตีในโลกความเป็นจริงอย่างแพร่หลาย

ช่องโหว่ที่กำลังเป็นที่วิตกกังวลนี้มีรหัส CVE-2026-9082 โดยได้รับคะแนนความรุนแรงอยู่ที่ 6.5 ตามมาตรฐาน CVSS ซึ่งเป็นช่องโหว่ประเภท SQL Injection ที่ส่งผลกระทบต่อเวอร์ชันที่ได้รับการสนับสนุนทั้งหมดของ Drupal Core การเกิดช่องโหว่นี้ทำให้ผู้โจมตีสามารถแทรกซ้อนคำสั่ง SQL ที่เป็นอันตรายเข้าไปในฐานข้อมูลได้ ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลที่ละเอียดอ่อน หรือการเข้าถึงระบบโดยไม่ได้รับอนุญาต

การที่ CISA นำช่องโหว่นี้เพิ่มลงในรายการ KEV ถือเป็นสัญญาณเตือนที่สำคัญอย่างยิ่งสำหรับองค์กรและผู้ดูแลเว็บไซต์ที่ใช้งาน Drupal โดยหน่วยงานได้กำหนดเวลาให้ฝ่ายเทคนิคต้องดำเนินการอัปเดตและแก้ไขช่องโหว่ให้เรียบร้อยภายในระยะเวลาที่กำหนด เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานทางดิจิทัล

คำศัพท์เทคนิคที่น่าสนใจ

• SQL Injection – ช่องโหว่ด้านความปลอดภัยที่เกิดจากการแทรกซ้อนคำสั่ง SQL ผิดปกติเข้าไปในระบบเพื่อโจมตีฐานข้อมูล
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลสำหรับระบุและอ้างอิงช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก
• KEV Catalog (Known Exploited Vulnerabilities) – แคตตาล็อกที่จัดทำโดย CISA รวบรวมช่องโหว่ที่มีหลักฐานชัดเจนว่าถูกผู้ไม่ประสงค์ดีนำไปใช้โจมตีในโลกความเป็นจริงแล้ว
• CVSS Score – มาตรฐานการให้คะแนนเพื่อประเมินระดับความรุนแรงของช่องโหว่ด้านความปลอดภัย

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/drupal-core-sql-injection-bug-actively.html