El equipo de Drupal ha publicado actualizaciones de seguridad que corrigen la vulnerabilidad CVE-2026-9082 en el núcleo del CMS. La vulnerabilidad permite a usuarios no autenticados ejecutar consultas SQL arbitrarias en sitios que utilizan bases de datos PostgreSQL, lo que puede provocar filtración de datos, elevación de privilegios o ejecución remota de código. Se ven afectadas las ramas Drupal 10 y 11: se recomienda a los administradores instalar de inmediato las versiones corregidas.

Detalles técnicos de la vulnerabilidad

Según el boletín oficial de seguridad de Drupal, la vulnerabilidad se encuentra en el API de abstracción de bases de datos (database abstraction API), que se encarga de validar las consultas y proteger frente a SQL injection. La ironía de la situación es que el propio componente diseñado para evitar SQL injection ha resultado ser vulnerable a este tipo de ataque.

Un atacante puede enviar consultas especialmente diseñadas que eluden el mecanismo de sanitización y dan lugar a una SQL injection arbitraria. Características clave de la vulnerabilidad:

• CVE ID: CVE-2026-9082
• Puntuación CVSS: 6.5 de 10.0
• Vector de ataque: remoto, sin autenticación
• Ámbito de impacto: solo sitios en PostgreSQL
• Consecuencias: filtración de información, elevación de privilegios, ejecución remota de código

Conviene prestar atención a la discrepancia en la valoración de la gravedad: Drupal clasifica la vulnerabilidad como «highly critical» (de alta criticidad), mientras que una puntuación CVSS de 6.5 en la escala estándar v3.x corresponde a un nivel de gravedad medio. Drupal utiliza su propio sistema de clasificación de riesgos, que tiene en cuenta la especificidad del ecosistema del CMS y, en particular, la posibilidad de explotación por parte de usuarios anónimos, lo que incrementa de forma considerable el riesgo práctico para los sitios web públicos.

Versiones afectadas y actualizaciones disponibles

Se han publicado correcciones para las siguientes versiones:

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10

Drupal 7 no es vulnerable. Las publicaciones para las ramas con soporte (11.3, 11.2, 10.6 y 10.5) incluyen además actualizaciones de seguridad para los componentes Symfony y Twig, lo que hace aún más importante instalar las últimas versiones.

Para las versiones que han llegado al final de su ciclo de vida — Drupal 9.5 y Drupal 8.9 — se han publicado parches manuales. No obstante, Drupal subraya que estos parches se proporcionan «bajo el principio de best effort» y no garantizan una protección completa: las versiones sin soporte contienen otras vulnerabilidades divulgadas con anterioridad.

Las ramas Drupal 11.1.x, 11.0.x, 10.4.x y anteriores también han alcanzado el final de su ciclo de vida y no reciben cobertura de seguridad de forma regular.

Evaluación del impacto

Aunque la vulnerabilidad afecta únicamente a sitios que utilizan PostgreSQL, lo que reduce el alcance del impacto en comparación con MySQL/MariaDB (más habituales en el ecosistema Drupal), el riesgo sigue siendo considerable por varios motivos:

• Ausencia de necesidad de autenticación: el ataque puede ser llevado a cabo por cualquier visitante del sitio, lo que hace trivial su explotación en cuanto exista un exploit funcional
• Amplio espectro de consecuencias: desde la lectura del contenido de la base de datos hasta el control total del sistema mediante ejecución remota de código
• PostgreSQL en el segmento corporativo: este SGBD se utiliza con más frecuencia en instalaciones de Drupal de gran tamaño y de ámbito corporativo, donde el daño potencial de una brecha es mayor

En el momento de la publicación no hay información sobre explotación activa de la vulnerabilidad en ataques reales, y CVE-2026-9082 no figura en el catálogo CISA KEV. Sin embargo, las SQL injection en CMS populares históricamente atraen la atención de los atacantes en plazos muy breves tras publicarse los detalles.

Recomendaciones

1. Actualice Drupal de inmediato a la versión corregida correspondiente a su rama. Para las ramas con soporte (11.3, 11.2, 10.6, 10.5) esta es la acción prioritaria
2. Identifique la base de datos utilizada: si el sitio funciona sobre MySQL o MariaDB, la vulnerabilidad no es aplicable, pero aun así se recomienda actualizar debido a los parches incluidos para Symfony y Twig
3. Para versiones obsoletas (Drupal 8.9, 9.5): aplique los parches manuales como medida temporal y planifique la migración a una rama con soporte
4. Revise los registros del servidor web en busca de solicitudes anómalas al API de base de datos, especialmente aquellas que contengan construcciones SQL atípicas para PostgreSQL
5. Utilice un WAF con reglas de detección de SQL injection como capa adicional de protección durante el periodo de actualización

Los administradores de sitios Drupal que utilizan PostgreSQL deben considerar esta actualización como urgente y aplicarla en las próximas 24–48 horas. La combinación de explotación anónima y potencial de ejecución remota de código convierte a CVE-2026-9082 en un objetivo atractivo para ataques automatizados: retrasar la instalación del parche incrementa significativamente la probabilidad de compromiso.