5月22日，奇安信CERT监测到官方修复Drupal Core PostgreSQL SQL注入漏洞(CVE-2026-9082)，该漏洞源于 PostgreSQL 对应的 EntityQuery 条件处理逻辑错误，用户可控的 PHP 关联数组键名未经过滤直接流入 SQL 占位符拼接流程，导致攻击者可构造恶意键名突破占位符语法，执行任意 SQL 语句。攻击者可利用该漏洞，通过构造特殊请求实现任意 SQL 注入，进而导致信息泄露、数据篡改或删除，在特定配置下还可实现权限提升和远程代码执行。该漏洞可被匿名用户远程利用，仅影响使用 PostgreSQL 数据库的站点。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为8871个，关联IP总数为2690个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

　　PART 02

　　新增在野利用

　　1.DAEMON Tools Lite 嵌入式恶意代码漏洞(CVE-2026-8398)

　　5月27日，CISA 已将 CVE-2026-8398 添加到其已知已利用漏洞 (KEV) 目录中。该漏洞涉及 Daemon Tools Lite，具体来说是 Daemon Tools Lite 嵌入式恶意代码漏洞。

　　该漏洞被描述为 Daemon Tools 中的一个未指明缺陷，会对机密性、完整性和可用性造成严重影响。其 CVSS v3.1 评分为 9.8，被评为“严重”级别。