### Drupal Core Schwachstelle: CVE-2026-9082 Eine "hochkritische" Sicherheitslücke wurde in **Drupal** Core entdeckt, was die sofortige Veröffentlichung von Sicherheitspatches erforderlich machte. Die Schwachstelle, die als **CVE-2026-9082** verfolgt wird, birgt erhebliche Risiken, darunter Remote Code Execution (RCE), Privilege Escalation und Information Disclosure. Die Schwachstelle hat einen CVSS-Score von 6,5 von 10,0. Laut **Drupal** liegt der Fehler in einer Datenbankabstraktions-API, die zur Validierung von Abfragen und zur Verhinderung von SQL-Injection-Angriffen verwendet wird. ### Technische Details "Eine Schwachstelle in dieser API ermöglicht es einem Angreifer, speziell präparierte Anfragen zu senden, was zu einer beliebigen SQL-Injection für Websites führt, die **PostgreSQL**-Datenbanken verwenden", heißt es in der Mitteilung von **Drupal**. Eine erfolgreiche Ausnutzung könnte zu folgenden Ergebnissen führen: * Information Disclosure * Privilege Escalation * Remote Code Execution ### Betroffene Versionen und Abhilfemaßnahmen Die Schwachstelle kann von anonymen Benutzern ausgenutzt werden und betrifft insbesondere Websites, die **PostgreSQL** verwenden. Die folgenden Versionen enthalten die notwendigen Korrekturen: * Drupal 11.3.10 * Drupal 11.2.12 * Drupal 11.1.10 * Drupal 10.6.9 * Drupal 10.5.10 * Drupal 10.4.10 **Drupal** 7 ist von dieser Schwachstelle nicht betroffen. Die aktualisierten Versionen für unterstützte Zweige (Versionen 11.3, 11.2, 10.6 und 10.5) enthalten auch Upstream-Sicherheitsupdates für **Symfony** und **Twig**, was die Bedeutung der Installation der neuesten Versionen unterstreicht. ### End-of-Life-Versionen Für **Drupal**-Versionen 9 und 8, die ihr End-of-Life (EOL) erreicht haben, wurden manuelle Patches veröffentlicht: * Drupal 9.5 * Drupal 8.9 **Drupal** hat darauf hingewiesen, dass die Versionen 11.1.x, 11.0.x, 10.4.x und älter EOL sind und keine Sicherheitsabdeckung mehr erhalten. Obwohl Patches für nicht unterstützte Versionen nach bestem Wissen und Gewissen bereitgestellt werden, können diese Versionen immer noch anfällig für zuvor offengelegte Sicherheitslücken sein.