Drupal lanza parche de emergencia para falla crítica de inyección SQL con riesgo de RCE en sitios con PostgreSQL

Drupal publicó este jueves, 21 de mayo, el aviso de seguridad SA-CORE-2026-004, que corrige la CVE-2026-9082, clasificada como "muy crítica" con una puntuación de 20 sobre 25 en el sistema de riesgo interno de la plataforma. La falla reside en la API de abstracción de base de datos del Drupal Core y permite que cualquier visitante no autenticado inyecte SQL arbitrario en instalaciones que utilicen PostgreSQL como backend de base de datos.

La clasificación AC:None y A:None en la puntuación técnica confirma la ausencia de cualquier requisito de acceso o privilegio para la explotación. Cualquier script automatizado puede desencadenar el ataque sin credenciales, sin configuración especial y sin necesidad de acción por parte de un usuario legítimo. El Equipo de Seguridad de Drupal no identificó explosiones activas en el momento de la divulgación, pero históricamente, las vulnerabilidades con puntuaciones equivalentes y vector de acceso anónimo registran intentos de explotación en masa dentro de 24 a 48 horas después de la publicación del aviso.

Cómo funciona la falla

La API de validación de consultas en Drupal Core no sanitiza correctamente ciertas entradas antes de enviarlas al controlador de PostgreSQL. Un atacante envía solicitudes especialmente construidas que eluden los filtros de la capa de abstracción, permitiendo la inyección de comandos SQL arbitrarios directamente en la base de datos de la aplicación. La falla afecta tanto consultas directas como aquellas generadas dinámicamente por módulos contrib que extienden la funcionalidad nativa del CMS.

Las consecuencias documentadas por el Equipo de Seguridad de Drupal incluyen divulgación de datos confidenciales almacenados en la base, escalada de privilegios dentro de la aplicación y, dependiendo de los permisos del usuario de base de datos configurado para Drupal, ejecución remota de código en el servidor host. Instalaciones que utilizan MySQL, MariaDB o SQLite no se ven afectadas: la vulnerabilidad está en la implementación específica del controlador de PostgreSQL en la capa de abstracción de Drupal.

Versiones afectadas y camino de corrección

La falla afecta toda la línea de soporte activo de Drupal: versiones de 8.9.0 a 10.4.9, de 10.5.0 a 10.5.9, de 10.6.0 a 10.6.8 y de 11.0.0 a 11.3.9. El Equipo de Seguridad de Drupal ha liberado parches para las cuatro ramas que se mantienen activamente (11.3, 11.2, 10.6 y 10.5) y actualizaciones de emergencia para las ramas legadas 11.1.x, 10.4.x, 9.5.x y 8.9.x, técnicamente en fin de vida, pero presentes en producción en un número significativo de instalaciones empresariales.

No existe mitigación alternativa documentada. La única corrección es la actualización inmediata a la versión más reciente disponible dentro de la rama en uso. El proyecto no recomienda firewalls de aplicaciones web como sustituto del parche, ya que las solicitudes maliciosas pueden ser ofuscadas para eludir las firmas basadas en patrones conocidos. Los administradores que utilizan actualizaciones automáticas a través de Composer deben validar los registros de implementación antes de considerar la instancia protegida.

Por qué los equipos de seguridad corporativa deben actuar ahora

Drupal está instalado en portales de clientes, sistemas de intranet y plataformas de gestión de contenido en sectores regulados, incluyendo agencias gubernamentales, hospitales, bancos y universidades. En estos entornos, PostgreSQL es frecuentemente la opción de base de datos por razones de licencia de código abierto y conformidad con políticas internas. La combinación de acceso anónimo habilitado por diseño de la plataforma y la ausencia total de autenticación como requisito de explotación crea un vector directamente accesible por escaneos automatizados a gran escala.

Las instancias de Drupal alojadas en bases de datos gestionadas como Amazon RDS for PostgreSQL, Google Cloud SQL o Azure Database for PostgreSQL son igualmente vulnerables: la falla está en el código de la aplicación Drupal, no en la capa de infraestructura de la base de datos gestionada. La presencia de módulos de caché agresivo, como Varnish o Redis, puede oscurecer temporalmente la exposición, pero no impide la explotación directa de los endpoints de la API vulnerable.

Los equipos de gestión de vulnerabilidades deben tratar la CVE-2026-9082 como una prioridad máxima mientras realizan el inventario de instancias de Drupal con PostgreSQL. La puntuación 20/25 supera el umbral que la mayoría de las organizaciones utiliza para activar ventanas de mantenimiento de emergencia fuera del ciclo regular de parches.

La divulgación de esta vulnerabilidad ocurre en la misma semana en que el grupo TeamPCP comprometió alrededor de 3.800 repositorios internos de GitHub a través de una extensión adulterada de Visual Studio Code. Los dos incidentes ilustran la misma tesis de riesgo: la cadena de suministro de software, desde la herramienta de desarrollo hasta el CMS de producción, sigue siendo el vector de mayor impacto y menor visibilidad en las estrategias de seguridad corporativa.