Auf den Punkt: Kritische SQL-Injection in Drupal Core (CVE-2026-9082) ermöglicht unauthentifizierte Angriffe. Dringende Updates: 11.3.10, 11.2.12, 10.6.9, 10.5.10. Sofortige Installation empfohlen.
Eine schwerwiegende SQL-Injection-Schwachstelle in Drupal Core gefährdet insbesondere PostgreSQL-basierte Installationen. Angreifer können ohne Authentifizierung beliebigen SQL-Code ausführen. Dringend empfohlen sind Aktualisierungen für die Versionen 11.3, 11.2, 10.6 und 10.5.
Das Drupal-Projekt hat eine kritische Sicherheitslücke (CVE-2026-9082) in der Datenbank-Abstraktions-API bekanntgegeben. Die Schwachstelle ermöglicht SQL-Injection-Angriffe durch speziell gestaltete Anfragen, die ohne Authentifizierung von anonymen Nutzern ausgenutzt werden können.
Die Anfälligkeit betrifft primär Drupal-Installationen mit PostgreSQL-Datenbanken, kann aber über Abhängigkeits-Updates auch andere Systeme gefährden. Angreifer könnten Datenlecks verursachen, Privilegien eskalieren oder Remote Code Execution erreichen.
Drupal stellt Sicherheitsaktualisierungen für alle unterstützten Versionen bereit: Version 11.3 ab 11.3.10, 11.2 ab 11.2.12, 10.6 ab 10.6.9 und 10.5 ab 10.5.10. Für auslaufende Versionen (11.1, 11.0, 10.4 und früher) wurden gezielt Patches veröffentlicht. End-of-Life-Versionen erhalten manuelle Patches.
CERT.at empfiehlt, Sicherheitsaktualisierungen unverzüglich einzuspielen. Als zusätzliche Vorsichtsmaßnahme sollten Administratoren überprüfen, welche Benutzerrollen Twig-Templates modifizieren können, da auch Symfony und Twig aktualisiert werden.
Quelle: www.cert.at