### Vulnerabilidade no Drupal Core: CVE-2026-9082 Uma vulnerabilidade de segurança "altamente crítica" foi descoberta no **Drupal** Core, levando à liberação de patches de segurança imediatos. A vulnerabilidade, rastreada como **CVE-2026-9082**, apresenta riscos significativos, incluindo execução remota de código (RCE), escalonamento de privilégios e divulgação de informações. A vulnerabilidade possui uma pontuação CVSS de 6.5 em 10.0. De acordo com o **Drupal**, a falha reside em uma API de abstração de banco de dados usada para validar consultas e prevenir ataques de SQL injection. ### Detalhes Técnicos "Uma vulnerabilidade nesta API permite que um atacante envie requisições especialmente elaboradas, resultando em SQL injection arbitrário para sites que utilizam bancos de dados **PostgreSQL**", declarou o **Drupal** em seu aviso. A exploração bem-sucedida poderia levar a: * Divulgação de informações * Escalonamento de privilégios * Execução remota de código ### Versões Afetadas e Mitigação A vulnerabilidade pode ser explorada por usuários anônimos e afeta especificamente sites que utilizam **PostgreSQL**. As seguintes versões contêm as correções necessárias: * Drupal 11.3.10 * Drupal 11.2.12 * Drupal 11.1.10 * Drupal 10.6.9 * Drupal 10.5.10 * Drupal 10.4.10 O **Drupal** 7 não é afetado por esta vulnerabilidade. As versões atualizadas para branches suportados (versões 11.3, 11.2, 10.6 e 10.5) também incorporam atualizações de segurança upstream para **Symfony** e **Twig**, enfatizando a importância de instalar as versões mais recentes. ### Versões Fim de Vida (End-of-Life) Patches manuais foram liberados para as versões 9 e 8 do **Drupal**, que atingiram seu fim de vida (EOL): * Drupal 9.5 * Drupal 8.9 O **Drupal** alertou que as versões 11.1.x, 11.0.x, 10.4.x e anteriores são EOL e não receberão cobertura de segurança. Embora os patches para versões não suportadas sejam fornecidos como um esforço de boa vontade, essas versões ainda podem estar vulneráveis a falhas de segurança divulgadas anteriormente.