Kritische Drupal SQL-Injection-Schwachstelle wird aktiv ausgenutzt: CISA ordnet sofortige Patches an
Eine kritische SQL-Injection-Schwachstelle im Content-Management-System (CMS) **Drupal** wird aktiv ausgenutzt. Die **Cybersecurity and Infrastructure Security Agency (CISA)** hat daher US-Regierungsbehörden angewiesen, ihre Systeme umgehend zu patchen. Die Schwachstelle, bekannt als **CVE-2026-9082**, ermöglicht es nicht authentifizierten Angreifern, beliebige SQL-Injection auf **PostgreSQL**-basierten Websites auszuführen.
**Drupal**, ein beliebtes CMS, wird häufig von großen Organisationen, darunter Regierungsstellen, Bildungseinrichtungen und Medienunternehmen, zur Verwaltung umfangreicher Datenstrukturen und Multi-Site-Installationen eingesetzt.
### Details zur Schwachstelle
Die Schwachstelle **CVE-2026-9082** wurde von Michael Maturi, einem Forscher von **Google/Mandiant**, in der Datenbankabstraktions-API von **Drupal** entdeckt. Sie ermöglicht es nicht authentifizierten Angreifern, über speziell präparierte Anfragen beliebige SQL-Injection auf **PostgreSQL**-basierten Websites auszulösen. Eine erfolgreiche Ausnutzung könnte zu Informationspreisgabe, Rechteausweitung und Remote Code Execution führen.
Das **Drupal**-Sicherheitsteam stufte die Schwachstelle als "hochkritisch" ein und veröffentlichte Patches, nachdem Ausnutzungsversuche in freier Wildbahn erkannt wurden.
### Ausnutzung in freier Wildbahn
Laut **Imperva** wurden seit der Offenlegung der Schwachstelle über 15.000 Angriffsversuche auf fast 6.000 einzelne Websites in 65 Ländern beobachtet. Die Angriffe richten sich hauptsächlich gegen Websites im Gaming- und Finanzdienstleistungsbereich.
**Shadowserver** verfolgt derzeit fast 670 ungepatchte, online exponierte **Drupal**-Installationen, wobei die Mehrheit in Nordamerika und Europa ansässig ist.
*Ungepatchte Drupal-Instanzen (Shadowserver)*
### Reaktion der CISA
Am Freitag fügte die **CISA** die Schwachstelle ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu und wies die Behörden des Federal Civilian Executive Branch (FCEB) an, ihre Systeme bis Mittwoch, den 27. Mai, gemäß der Binding Operational Directive (BOD) 22-01 zu patchen.
Obwohl BOD 22-01 speziell für US-Bundesbehörden gilt, rät die **CISA** dringend allen Organisationen, einschließlich denen im privaten Sektor, die Patches für **CVE-2026-9082** so schnell wie möglich anzuwenden, um ihre Systeme zu sichern.
Die **CISA** hat in den letzten Jahren fünf **Drupal**-Schwachstellen identifiziert, die in freier Wildbahn ausgenutzt wurden, wobei zwei davon für Ransomware-Angriffe genutzt wurden.
## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0)
Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten.
Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen.
[Jetzt herunterladen](https://hubs.li/Q048zztN0)