{"id":325231,"date":"2026-05-21T12:22:46","date_gmt":"2026-05-21T10:22:46","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325231"},"modified":"2026-05-21T12:23:56","modified_gmt":"2026-05-21T10:23:56","slug":"drupal-schliesst-kritische-schwachstelle-cve-2026-9082-im-core-20-5-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/21\/drupal-schliesst-kritische-schwachstelle-cve-2026-9082-im-core-20-5-2026\/","title":{"rendered":"Drupal schlie\u00dft kritische Schwachstelle CVE-2026-9082 im Core (20.5.2026)"},"content":{"rendered":"

\"SicherheitKeine Ahnung, ob Drupal-Nutzer unter den Blog-Lesern sind. Die Entwickler des CMS haben am gestrigen 20.5.2026 eine kritische SQL-Injection-Schwachstelle CVE-2026-9082 im Core durch ein Update geschlossen. Das Ganze betrifft unterschiedliche Drupal-Versionen, wie ich die Nacht gesehen habe.<\/p>\n

<\/p>\n

Drupal ist ein Content Management System (CMS) zur Erstellung von Webseiten, Blogs etc., \u00e4hnlich wie WordPress, was ich verwende. Die Nacht ist mir nachfolgender Tweet zum Thema untergekommen.<\/p>\n

\"Drupal<\/p>\n

Die Drupal-Entwickler haben diesen Sicherheitshinweis<\/a> dazu ver\u00f6ffentlicht. Der Drupal-Kern enth\u00e4lt eine Datenbank-Abstraktions-API, um sicherzustellen, dass an die Datenbank gerichtete Abfragen bereinigt werden, um SQL-Injection-Angriffe zu verhindern.<\/p>\n

Eine Schwachstelle in dieser API erm\u00f6glicht es einem Angreifer, speziell gestaltete Anfragen zu senden, was bei Websites, die PostgreSQL-Datenbanken verwenden, zu beliebigen SQL-Injections f\u00fchrt. Dies kann zur Offenlegung von Informationen und in einigen F\u00e4llen zu einer Rechteausweitung, zur Ausf\u00fchrung von Remote-Code oder zu anderen Angriffen f\u00fchren.<\/p>\n

Diese Schwachstelle kann von anonymen Benutzern ausgenutzt werden. Betroffen sind folgende Drupal-Versionen:<\/p>\n