สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ทำการบันทึกช่องโหว่ร้ายแรงระดับวิกฤตที่เพิ่งถูกปิดช่องโหว่บนระบบหลักของ Drupal (Drupal Core) ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) อย่างเป็นทางการ หลังจากมีหลักฐานยืนยันว่ามีแฮกเกอร์นำช่องโหว่ดังกล่าวไปใช้โจมตีในโลกความเป็นจริงอย่างแพร่หลาย ซึ่งเป็นสัญญาณเตือนที่สำคัญสำหรับทีมไอทีที่ใช้งาน CMS ตัวนี้ที่ต้องรีบอัปเดตระบบโดยด่วน

ช่องโหว่ที่กำลังเป็นที่น่าวิตกนี้มีรหัส CVE-2026-9082 และได้รับคะแนนความรุนแรงในระดับปานกลาง (CVSS score: 6.5) โดยเป็นปัญหาช่องโหว่แบบ SQL Injection ที่ส่งผลกระทบต่อเวอร์ชันที่ได้รับการสนับสนุนทั้งหมดของ Drupal Core การเกิดช่องโหว่ประเภทนี้ทำให้ผู้โจมตีสามารถแทรกคำสั่ง SQL ที่เป็นอันตรายเข้าไปในฐานข้อมูลผ่านช่องทางที่ไม่ได้รับการกรองข้อมูลที่ดีเพียงพอ หากถูกล่วงล้ำเข้าไปสำเร็จ อาจนำไปสู่การรั่วไหลของข้อมูลที่ละเอียดอ่อน การยกสิทธิ์เข้าถึงระบบ หรือแม้กระทั่งการควบคุมเซิร์ฟเวอร์เต็มรูปแบบ

การที่ CISA นำช่องโหว่นี้เพิ่มเข้าไปในรายการ KEV ถือเป็นการเรียกร้องให้หน่วยงานราชการและองค์กรภาคเอกชนในสหรัฐฯ ดำเนินการแก้ไขตามข้อกำหนดด้านความมั่นคงที่เข้มงวด โดยเจ้าของเว็บไซต์ที่ใช้งาน Drupal ควรตรวจสอบเวอร์ชันของระบบและปรับปรุงซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดที่ได้รับการแพตช์แล้วทันที เพื่อปิดโอกาสในการถูกเข้าถึงโดยกลุ่มผู้ไม่ประสงค์ดีที่กำลังค้นหาเป้าหมายที่ยังคงใช้งานระบบเก่าอยู่

คำศัพท์เทคนิคที่น่าสนใจ

• SQL Injection – ช่องโหว่ด้านความปลอดภัยที่ผู้โจมตีสามารถแทรกคำสั่ง SQL ที่เป็นอันตรายเข้าไปในฐานข้อมูลเพื่อดึงข้อมูล แก้ไข หรือลบข้อมูลได้
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลที่ใช้ระบุช่องโหว่และความเสี่ยงด้านความปลอดภัยของซอฟต์แวร์อย่างเป็นระบบ
• KEV Catalog (Known Exploited Vulnerabilities) – ฐานข้อมูลของ CISA ที่รวบรวมรายการช่องโหว่ที่มีหลักฐานชัดเจนว่าถูกแฮกเกอร์นำไปใช้โจมตีในโลกความเป็นจริงแล้ว
• CVSS Score – ระบบการให้คะแนนเพื่อประเมินความรุนแรงของช่องโหว่ด้านความปลอดภัย โดยมีคะแนนตั้งแต่ 0.0 (ไม่มีผลกระทบ) ถึง 10.0 (รุนแรงที่สุด)

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/drupal-core-sql-injection-bug-actively.html