Auf den Punkt: Eine SQL-Injection-Lücke in Drupal Core wird aktiv ausgenutzt und von CISA in den Katalog bekannter Schwachstellen aufgenommen. Imperva hat über 15.000 Angriffsversuche gegen 6.000 Websites verzeichnet, hauptsächlich gegen Gaming- und Finanzseiten. Sicherheitspatches stehen zur Verfügung.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine kürzlich gepatchte kritische Sicherheitslücke in Drupal Core in ihren Katalog bekannter ausgenutzer Sicherheitslücken aufgenommen. Die SQL-Injection-Schwachstelle CVE-2026-9082 wird bereits aktiv im Wildwuchs ausgenutzt.
Die Sicherheitslücke CVE-2026-9082 (CVSS-Score: 6,5) betrifft alle unterstützten Versionen von Drupal Core. Sie ermöglicht Privilegienerweiterung und die Ausführung von Fernzugriffen über speziell gestaltete Anfragen an die Datenbank-Abstraktions-API. Weniger als zwei Tage nach der Veröffentlichung der Drupal-Patches wurden bereits aktive Exploitierungsversuche gemeldet. Das Sicherheitsunternehmen Imperva (Tochterunternehmen von Thales) hat über 15.000 Angriffsversuche gegen fast 6.000 einzelne Websites in 65 Ländern beobachtet. Die Angriffe konzentrieren sich hauptsächlich auf Gaming- und Finanzdienstleistungsseiten und machen zusammen etwa 50 Prozent aller Angriffe aus. Bislang handelt es sich überwiegend um Erkennungsversuche, bei denen Angreifer und Scanner versuchen, zugängliche Drupal-Seiten mit anfälligen PostgreSQL-Konfigurationen zu identifizieren. Patches sind für Drupal-Versionen 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 und 10.4.10 verfügbar. Für Drupal 9.5 und 8.9 ist manuelles Patching erforderlich. Die US-Regierungsbehörden werden aufgefordert, die Sicherheitspatches bis zum 27. Mai 2026 einzuspielen.