Keine Ahnung, ob Drupal-Nutzer unter den Blog-Lesern sind. Die Entwickler des CMS haben am gestrigen 20.5.2026 eine kritische SQL-Injection-Schwachstelle CVE-2026-9082 im Core durch ein Update geschlossen. Das Ganze betrifft unterschiedliche Drupal-Versionen, wie ich die Nacht gesehen habe.
Drupal ist ein Content Management System (CMS) zur Erstellung von Webseiten, Blogs etc., ähnlich wie WordPress, was ich verwende. Die Nacht ist mir nachfolgender Tweet zum Thema untergekommen.
Die Drupal-Entwickler haben diesen Sicherheitshinweis dazu veröffentlicht. Der Drupal-Kern enthält eine Datenbank-Abstraktions-API, um sicherzustellen, dass an die Datenbank gerichtete Abfragen bereinigt werden, um SQL-Injection-Angriffe zu verhindern.
Eine Schwachstelle in dieser API ermöglicht es einem Angreifer, speziell gestaltete Anfragen zu senden, was bei Websites, die PostgreSQL-Datenbanken verwenden, zu beliebigen SQL-Injections führt. Dies kann zur Offenlegung von Informationen und in einigen Fällen zu einer Rechteausweitung, zur Ausführung von Remote-Code oder zu anderen Angriffen führen.
Diese Schwachstelle kann von anonymen Benutzern ausgenutzt werden. Betroffen sind folgende Drupal-Versionen:
- Drupal >= 8.9.0 < 10.4.10
- Drupal >= 10.5.0 < 10.5.10
- Drupal >= 10.6.0 < 10.6.9
- Drupal >= 11.0.0 < 11.1.10
- Drupal >= 11.2.0 < 11.2.12
- Drupal >= 11.3.0 < 11.3.10
Die aktualisierten Drupal-Versionen für unterstützte Zweige (11.3, 11.2, 10.6 und 10.5) enthalten auch Sicherheitsupdates für Symfony und Twig. Details sind dem Drupal Sicherheitshinweis zu entnehmen. Tenable hat hier einige einige Informationen zu CVE-2026-9082 verlinkt.
MVP: 2013 – 2016
