**Drupal** warnt Administratoren davor, dass Hacker aktiv versuchen, eine "hochkritische" SQL-Injection-Schwachstelle auszunutzen, die Anfang dieser Woche angekündigt wurde. Das Content-Management-System (CMS) Projekt veröffentlichte ursprünglich am 18. Mai eine PSA, in der Administratoren dringend aufgefordert wurden, Kern-Updates anzuwenden, die ein Problem beheben, das von Bedrohungsakteuren voraussichtlich schnell ausgenutzt werden würde. ### Details zu CVE-2026-9082 Die Schwachstelle, die als **CVE-2026-9082** verfolgt wird, wurde vom **Google/Mandiant**-Forscher Michael Maturi entdeckt. Sie befindet sich in der Datenbankabstraktions-API von Drupal und ermöglicht es speziell präparierten Anfragen, beliebige SQL-Injections auf Websites auszulösen, die **PostgreSQL** verwenden. SQL-Injection ist eine kritische Schwachstelle, bei der Angreifer bösartige SQL-Befehle über Benutzereingabefelder oder Dialoge auf Websites in Datenbankabfragen einschleusen. Dies kann zu unbefugtem Zugriff, Änderung oder Löschung von Datenbankdaten führen. Die Schwachstelle ist ohne Authentifizierung ausnutzbar, was ihre Schwere und potenzielle Auswirkungen erhöht. In einem aktualisierten Advisory vom 22. Mai bestätigte Drupal offiziell, dass Ausnutzungsversuche in freier Wildbahn erkannt wurden. "Die Risikobewertung wurde aktualisiert, um widerzuspiegeln, dass Ausnutzungsversuche nun in freier Wildbahn erkannt werden", heißt es in dem aktualisierten Advisory. Drupal hat die Schwachstelle intern als "hochkritisch" eingestuft und ihr eine Punktzahl von 23 von 25 zugewiesen. Das **NIST** hat sie jedoch auf Basis eines CVSS v3-Scores von 6,5 als "mittlere Schwere" eingestuft. ### Auswirkungen und Empfehlungen CVE-2026-9082 betrifft eine breite Palette von Drupal-Versionen, darunter: * Drupal 8.9.x * Drupal 10.4.x vor 10.4.10 * Drupal 10.5.x vor 10.5.10 * Drupal 10.6.x vor 10.6.9 * Drupal 11.0.x / 11.1.x vor 11.1.10 * Drupal 11.2.x vor 11.2.12 * Drupal 11.3.x vor 11.3.10 Website-Besitzern und Administratoren wird dringend empfohlen, sofort auf die neueste verfügbare Version für ihren jeweiligen Zweig zu aktualisieren. Selbst diejenigen, die kein PostgreSQL verwenden, werden ermutigt, ein Update durchzuführen, da die neuesten Sicherheitsupdates Korrekturen für Upstream-Abhängigkeiten enthalten, darunter **Symfony** und **Twig**. Das Advisory betont, dass Drupal 8 und 9 End-of-Life (EoL) sind und Patches "nach bestem Wissen und Gewissen" bereitgestellt werden. Diese Zweige enthalten jedoch weiterhin andere bekannte Schwachstellen, was ihre fortgesetzte Nutzung inhärent riskant macht.