Das Drupal-Team hat Sicherheitsupdates veröffentlicht, die die Schwachstelle CVE-2026-9082 im CMS-Kern beheben. Die Schwachstelle ermöglicht nicht authentifizierten Nutzern, beliebige SQL-Abfragen auf Websites auszuführen, die PostgreSQL-Datenbanken verwenden, was zu Datenabfluss, Privilegienausweitung oder Remote Code Execution führen kann. Betroffen sind die Branches Drupal 10 und 11 – Administratoren wird empfohlen, die korrigierten Versionen umgehend zu installieren.

Technische Details der Schwachstelle

Gemäß dem offiziellen Drupal-Sicherheitsbulletin befindet sich die Schwachstelle im abstrakten API für die Arbeit mit Datenbanken (database abstraction API), das für die Validierung von Abfragen und den Schutz vor SQL injection zuständig ist. Ironischerweise ist ausgerechnet die Komponente, die SQL injection verhindern soll, selbst dagegen verwundbar geworden.

Ein Angreifer kann speziell gestaltete Anfragen senden, die den Sanitization-Mechanismus umgehen und zu beliebiger SQL injection führen. Zentrale Merkmale der Schwachstelle:

• CVE ID: CVE-2026-9082
• CVSS-Score: 6.5 von 10.0
• Angriffsvektor: remote, ohne Authentifizierung
• Betroffener Bereich: nur Websites auf PostgreSQL
• Auswirkungen: Informationsabfluss, Privilegienausweitung, Remote Code Execution

Es ist auf die abweichende Bewertung der Schwere zu achten: Drupal stuft die Schwachstelle als „highly critical“ (hoch kritisch) ein, während ein CVSS-Score von 6.5 auf der Standard-Skala v3.x einem mittleren Schweregrad entspricht. Drupal verwendet ein eigenes System zur Risikoklassifizierung, das die Besonderheiten des CMS-Ökosystems berücksichtigt – insbesondere die Möglichkeit der Ausnutzung durch anonyme Nutzer, was das praktische Risiko für öffentliche Websites deutlich erhöht.

Betroffene Versionen und verfügbare Updates

Fixes wurden für die folgenden Versionen veröffentlicht:

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10

Drupal 7 ist von der Schwachstelle nicht betroffen. Die Releases für die unterstützten Branches (11.3, 11.2, 10.6 und 10.5) enthalten zusätzlich Sicherheitsupdates für die Komponenten Symfony und Twig, was die Installation der neuesten Versionen noch wichtiger macht.

Für Versionen, die das Ende ihres Lebenszyklus erreicht haben – Drupal 9.5 und Drupal 8.9 – wurden manuelle Patches bereitgestellt. Drupal betont jedoch, dass diese Patches auf „Best-Effort-Basis“ zur Verfügung gestellt werden und keinen vollständigen Schutz garantieren: Nicht unterstützte Versionen enthalten weitere bereits veröffentlichte Schwachstellen.

Die Branches Drupal 11.1.x, 11.0.x, 10.4.x und älter haben ebenfalls das Ende ihres Lebenszyklus erreicht und erhalten keine regelmäßige Sicherheitsabdeckung mehr.

Bewertung der Auswirkungen

Auch wenn die Schwachstelle nur Websites auf PostgreSQL betrifft und damit die Angriffsfläche gegenüber MySQL/MariaDB (in der Drupal-Ökosystem häufiger verbreitet) einschränkt, bleibt das Risiko aus mehreren Gründen erheblich:

• Keine Authentifizierung erforderlich – der Angriff kann von jedem Website-Besucher durchgeführt werden, was die Ausnutzung bei Vorliegen eines funktionierenden Exploits trivial macht
• Breites Spektrum an Auswirkungen – von der Auslesung des Datenbankinhalts bis hin zur vollständigen Systemübernahme durch Remote Code Execution
• PostgreSQL im Unternehmensumfeld – dieses DBMS wird häufiger in großen und unternehmensweiten Drupal-Installationen eingesetzt, in denen der potenzielle Schaden durch eine Kompromittierung höher ist

Zum Zeitpunkt der Veröffentlichung lagen keine Informationen über eine aktive Ausnutzung der Schwachstelle in realen Angriffen vor, und CVE-2026-9082 ist nicht im CISA-KEV-Katalog aufgeführt. Nichtsdestotrotz ziehen SQL injection in populären CMS erfahrungsgemäß innerhalb kürzester Zeit nach Veröffentlichung der Details die Aufmerksamkeit von Angreifern auf sich.

Empfehlungen

1. Aktualisieren Sie Drupal umgehend auf die für Ihren Branch passende korrigierte Version. Für die unterstützten Branches (11.3, 11.2, 10.6, 10.5) hat dies oberste Priorität
2. Prüfen Sie die verwendete Datenbank – wenn die Site auf MySQL oder MariaDB läuft, ist die Schwachstelle nicht anwendbar, dennoch wird ein Update aufgrund der enthaltenen Patches für Symfony und Twig empfohlen
3. Für veraltete Versionen (Drupal 8.9, 9.5) – wenden Sie die manuellen Patches als temporäre Maßnahme an und planen Sie die Migration auf einen unterstützten Branch
4. Überprüfen Sie die Webserver-Logs auf ungewöhnliche Anfragen an das Datenbank-API, insbesondere solche mit untypischen SQL-Konstruktionen für PostgreSQL
5. Setzen Sie einen WAF ein mit Regeln zur Erkennung von SQL injection als zusätzliche Schutzschicht für den Zeitraum bis zum Update

Administratoren von Drupal-Websites mit PostgreSQL sollten dieses Update als dringend betrachten und innerhalb der nächsten 24–48 Stunden einspielen. Die Kombination aus anonymer Ausnutzbarkeit und dem Potenzial für Remote Code Execution macht CVE-2026-9082 zu einem attraktiven Ziel für automatisierte Angriffe – ein Zögern beim Patchen erhöht die Wahrscheinlichkeit einer Kompromittierung erheblich.