Drupal lança patch emergencial para falha crítica de SQL injection com risco de RCE em sites com PostgreSQL
Sem exigir autenticação, a CVE-2026-9082 recebeu pontuação 20/25 no sistema de risco do Drupal e pode levar a execução remota de código em instalações com PostgreSQL. Patch disponível nesta quinta-feira.
O Drupal publicou nesta quinta-feira, 21 de maio, o aviso de segurança SA-CORE-2026-004, que corrige a CVE-2026-9082, classificada como "altamente crítica" com pontuação 20 em 25 no sistema de risco interno da plataforma. A falha reside na API de abstração de banco de dados do Drupal Core e permite que qualquer visitante não autenticado injete SQL arbitrário em instalações que utilizem PostgreSQL como backend de banco de dados.
A classificação AC:None e A:None no scoring técnico confirma a ausência de qualquer pré-requisito de acesso ou privilégio para a exploração. Qualquer script automatizado pode disparar o ataque sem credenciais, sem configuração especial e sem necessidade de ação por parte de um usuário legítimo. O Drupal Security Team não identificou exploração ativa no momento da divulgação, mas vulnerabilidades com pontuação equivalente e vetor de acesso anônimo historicamente registram tentativas de exploração em massa dentro de 24 a 48 horas após a publicação do aviso.
Como a falha funciona
A API de validação de queries no Drupal Core não sanitiza corretamente determinadas entradas antes de enviá-las ao driver PostgreSQL. Um atacante envia requisições especialmente construídas que contornam os filtros da camada de abstração, permitindo a injeção de comandos SQL arbitrários diretamente na base de dados da aplicação. A falha afeta tanto consultas diretas quanto aquelas geradas dinamicamente por módulos contrib que estendem a funcionalidade nativa do CMS.
As consequências documentadas pelo Drupal Security Team incluem divulgação de dados confidenciais armazenados no banco, escalada de privilégios dentro da aplicação e, dependendo das permissões do usuário de banco de dados configurado para o Drupal, execução remota de código no servidor hospedeiro. Instalações que utilizam MySQL, MariaDB ou SQLite não são afetadas: a vulnerabilidade está na implementação específica do driver PostgreSQL na camada de abstração do Drupal.
Versões afetadas e caminho de correção
A falha alcança toda a linha de suporte ativo do Drupal: versões de 8.9.0 a 10.4.9, de 10.5.0 a 10.5.9, de 10.6.0 a 10.6.8 e de 11.0.0 a 11.3.9. O Drupal Security Team liberou patches para os quatro branches ativamente mantidos (11.3, 11.2, 10.6 e 10.5) e atualizações emergenciais para os branches legados 11.1.x, 10.4.x, 9.5.x e 8.9.x, tecnicamente em end-of-life mas presentes em produção em número significativo de instalações empresariais.
Não existe mitigação alternativa documentada. A única correção é a atualização imediata para a versão mais recente disponível dentro do branch em uso. O projeto não recomenda Web Application Firewalls como substituto do patch, uma vez que requisições maliciosas podem ser ofuscadas para contornar assinaturas baseadas em padrões conhecidos. Administradores que utilizam atualizações automáticas via Composer devem validar os logs de implantação antes de considerar a instância protegida.
Por que equipes de segurança corporativa devem agir agora
O Drupal está instalado em portais de clientes, sistemas de intranet e plataformas de gerenciamento de conteúdo em setores regulamentados, incluindo agências governamentais, hospitais, bancos e universidades. Nesses ambientes, PostgreSQL é frequentemente a escolha de banco de dados por razões de licenciamento de código aberto e conformidade com políticas internas. A combinação de acesso anônimo habilitado por design da plataforma e a ausência total de autenticação como requisito de exploração cria um vetor diretamente acessível por varreduras automatizadas em larga escala.
Instâncias Drupal hospedadas em bancos gerenciados como Amazon RDS for PostgreSQL, Google Cloud SQL ou Azure Database for PostgreSQL são igualmente vulneráveis: a falha está no código da aplicação Drupal, não na camada de infraestrutura de banco de dados gerenciada. A presença de módulos de cache agressivo, como Varnish ou Redis, pode obscurecer temporariamente a exposição, mas não impede a exploração direta dos endpoints da API vulnerável.
Equipes de gerenciamento de vulnerabilidades devem tratar a CVE-2026-9082 como prioridade máxima enquanto realizam o inventário de instâncias Drupal com PostgreSQL. A pontuação 20/25 supera o limiar que a maioria das organizações utiliza para acionar janelas de manutenção de emergência fora do ciclo regular de patching.
A divulgação desta vulnerabilidade ocorre na mesma semana em que o grupo TeamPCP comprometeu cerca de 3.800 repositórios internos do GitHub através de uma extensão adulterada do Visual Studio Code. Os dois incidentes ilustram a mesma tese de risco: a cadeia de suprimentos de software, da ferramenta de desenvolvimento ao CMS de produção, permanece o vetor de maior impacto e menor visibilidade nas estratégias de segurança corporativa.