drupal'de kritik açık, kimlik doğrulama bile istemiyor

Posted on 21 May 2026

arkadaşlar, drupal’de çok ciddi bir açık bulunmuş. CVE-2026-9082 diye geçiyor kayıtlarda ve gerçekten çok kötü. ne kadar kötü derseniz, cvss skoru 9+ yani kritik seviyede. üstelik kimlik doğrulama bile istemiyor sömürülmesi için.

ne var ne yok

CVE-2026-9082 açığı üçlü tehdit gibi geliyor:

  • bilgi sızıntısı yapabiliyorsunuz
  • yetki yükseltme (privilege escalation) var, yani misafirden admin’e terfi
  • uzaktan kod çalıştırma (rce) denen bela da mevcut

spoiler: kimlik doğrulamasına bile gerek yok bu açığı sömürmek için. yani herhangi biri gelip sitenize girebilir, kod çalıştırabilir.

etkilenen sistemler

SistemDurum
Drupal✅ Etkileniyor (yamalı sürüme geçin)
Diğer CMS’ler❌ Etkilenmiyor

ne yapmalısınız

agalar, hemen şunu yapın:

# önce yedek alın (bunu atlamayın, sonra ağlarsınız)
drush sql-dump > backup-$(date +%Y%m%d).sql

# drupal versiyonunuzu kontrol edin
drush status

# güncellemeyi çekin
composer update drupal/core drupal/core-recommended --with-dependencies

# veritabanı güncellemelerini çalıştırın
drush updatedb

# cache'i temizleyin
drush cr

dikkat: önce test ortamında deneyin bu işlemi. production’da direkt yapmayın, sonra site çökerse bana sormayın.

manuel güncelleme yapacaksanız

composer kullanmıyorsanız (neden kullanmıyorsunuz ki ama neyse):

  1. drupal.org’dan güncel sürümü indirin
  2. sitenizi maintenance mode’a alın
  3. eski core dosyalarını yedekleyin
  4. yeni dosyaları yükleyin
  5. update.php’yi çalıştırın
  6. sitenizi tekrar açın

geçici çözüm yok

bu açık için geçici çözüm falan yok arkadaşlar. tek çare yamalamak. waf kuralı yazabilirsiniz belki ama garantisi yok, o yüzden acil acil güncelleyin.

eğer hemen güncelleyemiyorsanız:

  • sitenizi geçici olarak kapatın
  • ya da en azından ip whitelist yapın, sadece bilinen ip’lerden erişim olsun
  • logları yakından takip edin, garip bir şey görürseniz hemen müdahale edin

timeline

  • 21 mayıs 2026: drupal güvenlik ekibi açığı duyurdu ve yamayı yayınladı
  • aynı gün: securityweek ve diğer güvenlik siteleri haberi yaydı

edit: henüz aktif sömürü rapor edilmemiş ama bu tür kritik açıklar için exploit çok hızlı çıkıyor. beklemeyin yani.

hangi sürümler etkileniyor

drupal güvenlik duyurusunda tam liste var ama genel olarak:

  • drupal 10.x’in belirli sürümleri
  • drupal 9.x’in belirli sürümleri (eol olmamış olanlar)

önemli: eğer hala drupal 7 veya 8 kullanıyorsanız, zaten başka dertleriniz var. onlar çoktan end-of-life oldu, ciddi ciddi yükseltme planı yapın.

kaynak ve referanslar

son söz

arkadaşlar bu çok ciddi bir açık. kimlik doğrulama gerektirmeyen rce açığı demek, siteniz tamamen ele geçirilebilir demek. hafta sonu bile olsa girin sistemlere, güncelleyin şu drupal’i. pazartesi “aa sitemiz hacklendi” diye ticket açmayın.

bkz: cms güncellemelerini ertelememek bkz: yedek almadan güncelleme yapmamak

Bu içerik yapay zeka tarafından oluşturulmuştur.