Drupal veröffentlicht Notfall-Patch für kritische SQL-Injection-Schwachstelle mit Risiko einer Remote Code Execution in Websites mit PostgreSQL
Ohne Authentifizierung erforderlich, erhielt die CVE-2026-9082 eine Bewertung von 20/25 im Risiko-System von Drupal und kann zur Ausführung von Remote-Code in Installationen mit PostgreSQL führen. Patch ist seit diesem Donnerstag verfügbar.
Drupal hat am Donnerstag, den 21. Mai, die Sicherheitsmitteilung SA-CORE-2026-004 veröffentlicht, die die CVE-2026-9082 behebt, die als "hochkritisch" eingestuft wurde, mit einer Bewertung von 20 von 25 im internen Risikosystem der Plattform. Die Schwachstelle befindet sich in der Datenbankabstraktions-API des Drupal Core und ermöglicht es jedem nicht authentifizierten Besucher, beliebiges SQL in Installationen, die PostgreSQL als Datenbank-Backend verwenden, einzuschleusen.
Die Einstufungen AC:None und A:None im technischen Scoring bestätigen das Fehlen jeglicher Zugangs- oder Berechtigungsanforderungen für die Ausnutzung. Jedes automatisierte Skript kann den Angriff ohne Anmeldeinformationen, ohne spezielle Konfiguration und ohne Aktion eines legitimen Benutzers auslösen. Das Drupal Security Team hat zum Zeitpunkt der Veröffentlichung keine aktive Ausnutzung festgestellt, aber Schwachstellen mit vergleichbarer Punktzahl und anonymem Zugriffsvektor verzeichnen historisch gesehen innerhalb von 24 bis 48 Stunden nach Veröffentlichung der Mitteilung zahlreiche Ausnutzungsversuche.
Wie die Schwachstelle funktioniert
Die API zur Validierung von Abfragen im Drupal Core sanitisiert bestimmte Eingaben nicht ordnungsgemäß, bevor sie an den PostgreSQL-Treiber gesendet werden. Ein Angreifer sendet speziell konstruierte Anfragen, die die Filter der Abstraktionsschicht umgehen, was die Einspeisung beliebiger SQL-Kommandos direkt in die Datenbank der Anwendung ermöglicht. Die Schwachstelle betrifft sowohl direkte Abfragen als auch solche, die dynamisch durch zusätzliche Module generiert werden, die die native Funktionalität des CMS erweitern.
Die vom Drupal Security Team dokumentierten Konsequenzen umfassen die Offenlegung von vertraulichen Daten, die in der Datenbank gespeichert sind, die Eskalation von Rechten innerhalb der Anwendung und, abhängig von den Berechtigungen des für Drupal konfigurierten Datenbankbenutzers, die Ausführung von Remote-Code auf dem Host-Server. Installationen, die MySQL, MariaDB oder SQLite verwenden, sind nicht betroffen: die Schwachstelle liegt in der spezifischen Implementierung des PostgreSQL-Treibers in der Abstraktionsschicht von Drupal.
Betroffene Versionen und Korrekturweg
Die Schwachstelle betrifft die gesamte Reihe aktiver Supportversionen von Drupal: Versionen von 8.9.0 bis 10.4.9, von 10.5.0 bis 10.5.9, von 10.6.0 bis 10.6.8 und von 11.0.0 bis 11.3.9. Das Drupal Security Team hat Patches für die vier aktiv gewarteten Branches (11.3, 11.2, 10.6 und 10.5) sowie Notfallupdates für die veralteten Branches 11.1.x, 10.4.x, 9.5.x und 8.9.x veröffentlicht, die technisch am Ende ihrer Lebensdauer sind, aber in einer signifikanten Anzahl von Unternehmensinstallationen vorhanden sind.
Es gibt keine dokumentierte alternative Minderung. Die einzige Lösung besteht darin, sofort auf die neueste verfügbare Version innerhalb des verwendeten Branches zu aktualisieren. Das Projekt empfiehlt nicht, Web Application Firewalls als Ersatz für den Patch zu verwenden, da bösartige Anfragen verschleiert werden können, um bekannte patternbasierte Signaturen zu umgehen. Administratoren, die automatische Updates über Composer verwenden, sollten die Bereitstellungsprotokolle validieren, bevor sie die Instanz als geschützt betrachten.
Warum Corporate-Sicherheitsteams jetzt handeln müssen
Drupal ist in Kundenportalen, Intranet-Systemen und Content-Management-Plattformen in regulierten Sektoren installiert, einschließlich Regierungsbehörden, Krankenhäusern, Banken und Universitäten. In diesen Umgebungen ist PostgreSQL häufig die Datenbankwahl aus Gründen der Lizenzierung von Open Source und der Einhaltung interner Richtlinien. Die Kombination aus anonymem Zugriff, der von der Plattform designbedingt ermöglicht wird, und dem vollständigen Fehlen von Authentifizierung als Anforderung für die Ausnutzung schafft einen Schatten, der direkt durch automatisierte Scans leicht zugänglich ist.
Drupal-Instanzen, die auf verwalteten Datenbanken wie Amazon RDS für PostgreSQL, Google Cloud SQL oder Azure Database für PostgreSQL gehostet werden, sind ebenfalls gefährdet: die Schwachstelle liegt im Code der Drupal-Anwendung, nicht in der verwalteten Datenbankschicht. Das Vorhandensein von aggressiven Cache-Modulen wie Varnish oder Redis kann vorübergehend die Exposition verschleiern, verhindert jedoch nicht die direkte Ausnutzung der verwundbaren API-Endpunkte.
Das Schwachstellenteam sollte die CVE-2026-9082 als höchste Priorität behandeln, während die Bestandsaufnahme von Drupal-Instanzen mit PostgreSQL durchgeführt wird. Die Punktzahl von 20/25 übersteigt den Schwellenwert, den die meisten Organisationen verwenden, um Notfallwartungsfenster außerhalb des regulären Patchzyklus einzuleiten.
Die Bekanntgabe dieser Schwachstelle erfolgt in derselben Woche, in der die Gruppe TeamPCP etwa 3.800 interne GitHub-Repositories über eine kompromittierte Erweiterung von Visual Studio Code in Gefahr brachte. Beide Vorfälle veranschaulichen dasselbe Risiko-Szenario: die Software-Lieferkette, vom Entwicklungstool bis zum produktiven CMS, bleibt der größte Einflussvektor mit der geringsten Sichtbarkeit in den Strategien der Unternehmenssicherheit.