**Drupal** advierte a los administradores que los hackers están intentando activamente explotar una vulnerabilidad de inyección SQL "altamente crítica" anunciada a principios de esta semana. El proyecto del sistema de gestión de contenidos (CMS) publicó inicialmente un comunicado el 18 de mayo, instando a los administradores a aplicar actualizaciones del núcleo que abordan un problema que se esperaba que los actores de amenazas explotaran rápidamente. ### Detalles de CVE-2026-9082 La falla, rastreada como **CVE-2026-9082**, fue descubierta por el investigador **Google/Mandiant** Michael Maturi. Reside dentro de la API de abstracción de base de datos de Drupal, lo que permite que solicitudes especialmente diseñadas activen inyecciones SQL arbitrarias en sitios que utilizan **PostgreSQL**. La inyección SQL es una vulnerabilidad crítica donde los atacantes inyectan comandos SQL maliciosos en las consultas de la base de datos a través de campos de entrada de usuario o diálogos en sitios web. Esto puede llevar a acceso no autorizado, modificación o eliminación de datos de la base de datos. La vulnerabilidad es explotable sin autenticación, lo que aumenta su gravedad y su impacto potencial. En un aviso actualizado el 22 de mayo, Drupal confirmó oficialmente que se han detectado intentos de explotación en la naturaleza. "La puntuación de riesgo se ha actualizado para reflejar que ahora se están detectando intentos de explotación en la naturaleza", se lee en el aviso actualizado. Drupal ha calificado internamente la vulnerabilidad como "altamente crítica", asignándole una puntuación de 23 sobre 25. Sin embargo, el **NIST** la ha calificado como "severidad media" basándose en una puntuación CVSS v3 de 6.5. ### Impacto y Recomendaciones CVE-2026-9082 afecta a una amplia gama de versiones de Drupal, incluyendo: * Drupal 8.9.x * Drupal 10.4.x antes de 10.4.10 * Drupal 10.5.x antes de 10.5.10 * Drupal 10.6.x antes de 10.6.9 * Drupal 11.0.x / 11.1.x antes de 11.1.10 * Drupal 11.2.x antes de 11.2.12 * Drupal 11.3.x antes de 11.3.10 Se recomienda encarecidamente a los propietarios y administradores de sitios web que actualicen inmediatamente a la última versión disponible para su rama respectiva. Incluso aquellos que no utilizan PostgreSQL se les anima a actualizar, ya que las últimas actualizaciones de seguridad incluyen correcciones para dependencias anteriores, como **Symfony** y **Twig**. El aviso enfatiza que Drupal 8 y 9 están al final de su vida útil (EoL), y los parches se proporcionan "según el mejor esfuerzo". Sin embargo, estas ramas aún contienen otras vulnerabilidades conocidas, lo que hace que su uso continuo sea intrínsecamente riesgoso.