Auf den Punkt: Die äußerst kritische SQL-Injection-Lücke CVE-2026-9082 in Drupal wird aktiv ausgenutzt. Sie betrifft zahlreiche Drupal-Versionen und ermöglicht Remote Code Execution ohne Authentifizierung. Administratoren sollten sofort aktualisieren.
Das Content-Management-System Drupal warnt vor aktiven Exploitierungsversuchen einer "äußerst kritischen" SQL-Injection-Sicherheitslücke. Die Schwachstelle CVE-2026-9082 betrifft die Datenbankabstraktions-API und ermöglicht unter Umständen Remote Code Execution und Datenzugriff ohne Authentifizierung.
Drupal hat nach einer Sicherheitsmitteilung vom 18. Mai eine Aktualisierung veröffentlicht, wonach Angreifer nun versuchen, die „äußerst kritische“ SQL-Injection-Lücke auszunutzen. Die Schwachstelle CVE-2026-9082 wurde von Michael Maturi, Forscher bei Google/Mandiant, entdeckt und betrifft die Datenbankabstraktions-API des Content-Management-Systems. Sie ermöglicht speziell konstruierten Anfragen die Durchführung beliebiger SQL-Injection-Angriffe auf Seiten, die PostgreSQL verwenden.
Die Lücke erlaubt es Angreifern, bösartige SQL-Befehle einzuschleusen und dadurch auf Datenbankdaten zuzugreifen, diese zu manipulieren oder zu löschen. Besonders problematisch ist, dass keine Authentifizierung erforderlich ist. Dies könnte zu Remote Code Execution, Privilege Escalation und Informationspreisgabe führen.
Drupal bestätigte am 22. Mai in einer aktualisierten Mitteilung, dass Exploitierungsversuche in der Praxis beobachtet wurden. Das Projekt bewertet die Lücke intern mit einem Kritikalitätswert von 23 von 25 Punkten. Das National Institute of Standards and Technology (NIST) stuft sie dagegen mit einem CVSS-v3-Wert von 6,5 als „mittelschwer“ ein.
Die Sicherheitslücke betrifft zahlreiche Drupal-Versionen: Drupal 8.9.x, 10.4.x vor 10.4.10, 10.5.x vor 10.5.10, 10.6.x vor 10.6.9, 11.0.x/11.1.x vor 11.1.10, 11.2.x vor 11.2.12 und 11.3.x vor 11.3.10.
Website-Betreiber und Administratoren sollten sofort auf die neueste verfügbare Version ihrer Branch aktualisieren. Auch Nutzer, die nicht PostgreSQL einsetzen, werden zu einem Update geraten, da die Sicherheitsupdates auch Fixes für abhängige Komponenten wie Symfony und Twig enthalten. Drupal 8 und 9 sind nicht mehr unterstützt, erhalten jedoch Patches auf Basis bestmöglicher Bemühungen. Deren Verwendung ist jedoch aufgrund weiterer bekannter Sicherheitslücken inhärent riskant.