**Drupal**, un popular CMS, es utilizado frecuentemente por grandes organizaciones, incluyendo entidades gubernamentales, instituciones educativas y empresas de medios, para gestionar extensas estructuras de datos e instalaciones de múltiples sitios. ### Detalles de la Vulnerabilidad La vulnerabilidad, **CVE-2026-9082**, fue descubierta por el investigador **Michael Maturi** de **Google/Mandiant** en la API de abstracción de bases de datos de **Drupal**. Permite a atacantes no autenticados desencadenar inyecciones SQL arbitrarias en sitios que utilizan **PostgreSQL** a través de solicitudes especialmente diseñadas. La explotación exitosa podría llevar a la divulgación de información, escalada de privilegios y ejecución remota de código. El equipo de seguridad de **Drupal** clasificó la falla como "altamente crítica" y lanzó parches después de detectar intentos de explotación en la naturaleza. ### Explotación en la Naturaleza Según **Imperva**, se han observado más de 15,000 intentos de ataque dirigidos a casi 6,000 sitios individuales en 65 países desde la divulgación de la vulnerabilidad. Los ataques se dirigen principalmente a sitios de servicios financieros y de juegos. **Shadowserver** está rastreando actualmente cerca de 670 instalaciones de **Drupal** sin parches expuestas en línea, con la mayoría ubicadas en América del Norte y Europa.  *Instancias de Drupal sin parches (Shadowserver)* ### Respuesta de CISA El viernes, **CISA** agregó la falla a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que parchearan sus sistemas antes del miércoles 27 de mayo, según la Directiva Operacional Vinculante (BOD) 22-01. Si bien la BOD 22-01 se aplica específicamente a las agencias federales de EE. UU., **CISA** recomienda encarecidamente a todas las organizaciones, incluidas las del sector privado, que apliquen los parches de **CVE-2026-9082** lo antes posible para asegurar sus sistemas. **CISA** ha señalado cinco vulnerabilidades de **Drupal** explotadas en la naturaleza en los últimos años, dos de las cuales han sido aprovechadas en ataques de ransomware. ## [La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Usted Necesita Seis.](https://hubs.li/Q048zztN0) Las herramientas de pruebas de penetración automatizadas brindan un valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si las configuraciones de la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesita validar. [Descargar Ahora](https://hubs.li/Q048zztN0)