Auf den Punkt: Drupal veröffentlicht kritische Sicherheitsupdates für CVE-2026-9082, eine SQL-Injection-Schwachstelle in der Datenbank-API, die PostgreSQL-Websites gefährdet. Updates sind für Versionen 10.4 und höher verfügbar. End-of-Life-Versionen erhalten nur manuelle Patches.
Drupal hat Sicherheitsupdates für eine hochkritische Sicherheitslücke in Drupal Core veröffentlicht. Die als CVE-2026-9082 registrierte Schwachstelle könnte Angreifern ermöglichen, Remote Code Execution, Privilegieeskalation oder Datenlecks zu verursachen. Mit einem CVSS-Score von 6,5 sind besonders PostgreSQL-Datenbanken betroffen.
Die Sicherheitslücke befindet sich in einer Datenbank-API von Drupal Core, die normalerweise Anfragen validiert und vor SQL-Injection-Attacken schützt. Eine Schwachstelle in dieser API ermöglicht es Angreifern jedoch, speziell crafted Requests zu senden, die zu beliebigen SQL-Injections auf PostgreSQL-basierten Websites führen. Dies kann Informationspreisgaben, Privilegieeskalation, Remote Code Execution und weitere Angriffe ermöglichen.
Die Lücke kann von anonymen Benutzern ausgenutzt werden und betrifft nur Websites mit PostgreSQL-Datenbanken. Drupal hat entsprechende Updates für folgende Versionen bereitgestellt: Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 und 10.4.10. Drupal 7 ist nicht betroffen.
Die Updates für unterstützte Versionen (11.3, 11.2, 10.6 und 10.5) enthalten zusätzlich Sicherheitsupdates für Symfony und Twig, weshalb die Installation der neuesten Versionen dringend empfohlen wird. Für die End-of-Life-Versionen Drupal 8 und 9 stellt Drupal manuelle Patches zur Verfügung, allerdings nur als Best-Effort-Lösung ohne weitere Sicherheitsunterstützung.