Falha Crítica de SQL Injection no Drupal Sob Exploração Ativa: CISA Ordena Correção Imediata
Uma vulnerabilidade crítica de SQL injection no sistema de gerenciamento de conteúdo (CMS) **Drupal** está sob exploração ativa, levando a **Cybersecurity and Infrastructure Security Agency (CISA)** a ordenar que agências do governo dos EUA corrijam seus sistemas imediatamente. A falha, rastreada como **CVE-2026-9082**, permite que atacantes não autenticados executem injeção de SQL arbitrária em sites com **PostgreSQL**.
**Drupal**, um CMS popular, é frequentemente utilizado por grandes organizações, incluindo entidades governamentais, instituições educacionais e empresas de mídia, para gerenciar extensas estruturas de dados e instalações multi-site.
### Detalhes da Vulnerabilidade
A vulnerabilidade, **CVE-2026-9082**, foi descoberta pelo pesquisador Michael Maturi do **Google/Mandiant** na API de abstração de banco de dados do **Drupal**. Ela permite que atacantes não autenticados acionem injeção de SQL arbitrária em sites com **PostgreSQL** através de requisições especialmente elaboradas. A exploração bem-sucedida pode levar à divulgação de informações, escalonamento de privilégios e execução remota de código.
A equipe de segurança do **Drupal** classificou a falha como "altamente crítica" e liberou patches após detectar tentativas de exploração em campo.
### Exploração em Campo
De acordo com a **Imperva**, mais de 15.000 tentativas de ataque visando quase 6.000 sites individuais em 65 países foram observadas desde a divulgação da vulnerabilidade. Os ataques visam principalmente sites de jogos e serviços financeiros.
A **Shadowserver** está atualmente rastreando quase 670 instalações **Drupal** desatualizadas expostas online, com a maioria localizada na América do Norte e Europa.
*Instâncias Drupal desatualizadas (Shadowserver)*
### Resposta da CISA
Na sexta-feira, a **CISA** adicionou a falha ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e determinou que as agências do Ramo Executivo Civil Federal (FCEB) corrijam seus sistemas até quarta-feira, 27 de maio, de acordo com a Diretiva Operacional Vinculante (BOD) 22-01.
Embora a BOD 22-01 se aplique especificamente a agências federais dos EUA, a **CISA** recomenda fortemente que todas as organizações, incluindo as do setor privado, apliquem os patches da **CVE-2026-9082** o mais rápido possível para proteger seus sistemas.
A **CISA** já sinalizou cinco vulnerabilidades **Drupal** exploradas em campo nos últimos anos, com duas sendo utilizadas em ataques de ransomware.
## [A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis.](https://hubs.li/Q048zztN0)
Ferramentas de pentest automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam.
Este guia cobre as 6 superfícies que você realmente precisa validar.
[Baixe Agora](https://hubs.li/Q048zztN0)