{"uuid": "6db0a6cc-e447-4ffe-9b7f-dc4dd2af5f1a", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2026-9082", "type": "seen", "source": "https://www.cert.at/de/warnungen/2026/5/kritische-sicherheitslucke-in-drupal-core-updates-verfugbar", "content": "20. Mai 2026\n\nBeschreibung\n\nIn Drupal Core existiert eine SQL-Injection-Schwachstelle in der Datenbank-Abstraktions-API. Speziell gestaltete Anfragen k&ouml;nnen zu beliebigen SQL-Injections f&uuml;hren. Die Schwachstelle ist ausschlie&szlig;lich f&uuml;r Drupal-Installationen relevant, die PostgreSQL als Datenbank einsetzen, und kann ohne Authentifizierung durch anonyme Benutzer:innen ausgenutzt werden.\n\nZus&auml;tzlich zur SQL-Injection enthalten die Drupal-Releases f&uuml;r die unterst&uuml;tzten Versionszweige (11.3, 11.2, 10.6 und 10.5) auch Sicherheitsaktualisierungen f&uuml;r die Abh&auml;ngigkeiten Symfony und Twig. Diese Abh&auml;ngigkeits-Updates betreffen unabh&auml;ngig von der eingesetzten Datenbank alle Drupal-Installationen.\n\nCVE-Nummer(n):&nbsp;CVE-2026-9082\n\nCVSS Base Score: N/A\n\nAuswirkungen\n\nAngreifer:innen k&ouml;nnen ohne Authentifizierung speziell gestaltete Anfragen senden und so beliebigen SQL-Code ausf&uuml;hren. M&ouml;gliche Folgen sind die Offenlegung von Informationen sowie in bestimmten Konstellationen Privilegieneskalation, Remote Code Execution oder weitere Angriffe.\n\nAuch wenn die SQL-Injection nur PostgreSQL-Installationen betrifft, sind durch die mitver&ouml;ffentlichten Updates f&uuml;r Symfony und Twig je nach Konfiguration und eingesetzten Contrib-Modulen alle Drupal-Sites potenziell von weiteren Schwachstellen betroffen.\n\nBetroffene Systeme\n\nDrupal Core in folgenden Versionsbereichen:\n\n\n\nDrupal 11.3.x: Versionen vor 11.3.10\n\nDrupal 11.2.x: Versionen vor 11.2.12\n\nDrupal 11.1.x und 11.0.x: Versionen vor 11.1.10 (End-of-Life)\n\nDrupal 10.6.x: Versionen vor 10.6.9\n\nDrupal 10.5.x: Versionen vor 10.5.10\n\nDrupal 10.4.x und fr&uuml;here 10er-Versionen: vor 10.4.10 (End-of-Life)\n\nDrupal 9.x: alle Versionen (End-of-Life)\n\nDrupal 8.9.x: alle Versionen (End-of-Life)\n\n\nAbhilfe\n\nDrupal stellt f&uuml;r die unterst&uuml;tzten Versionszweige folgende Sicherheitsaktualisierungen bereit:\n\n\n\nDrupal 11.3.x: Update auf 11.3.10\n\nDrupal 11.2.x: Update auf 11.2.12\n\nDrupal 10.6.x: Update auf 10.6.9\n\nDrupal 10.5.x: Update auf 10.5.10\n\n\nF&uuml;r nicht mehr unterst&uuml;tzte Minor-Branches wurden ausschlie&szlig;lich zur Behebung dieser Schwachstelle gezielte Versionen ver&ouml;ffentlicht:\n\n\n\nDrupal 11.1.x und 11.0.x: Update auf 11.1.10\n\nDrupal 10.4.x und fr&uuml;here 10er-Versionen: Update auf 10.4.10\n\n\nAufgrund der Schwere der Schwachstelle stellt Drupal zus&auml;tzlich manuell anzuwendende Patches f&uuml;r die End-of-Life-Versionen Drupal 9.5 und Drupal 8.9 bereit. CERT.at empfiehlt f&uuml;r diese Versionen mittelfristig eine Migration auf einen unterst&uuml;tzten Versionszweig.\n\nSites, die Drupal Steward einsetzen, sind laut Hersteller bereits vor bekannten Angriffsvektoren gesch&uuml;tzt; die Aktualisierung sollte dennoch zeitnah erfolgen.\n\nDa die Aktualisierungen auch Symfony und Twig betreffen, wird empfohlen zu &uuml;berpr&uuml;fen, welche Benutzerrollen Twig-Templates aktualisieren k&ouml;nnen (etwa &uuml;ber Views oder Contrib-Module).\n\nHinweis\n\nGenerell empfiehlt CERT.at, s&auml;mtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelm&auml;&szlig;ige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.\n\n\n\nInformationsquelle(n)\n\nDrupal core - Highly critical - SQL injection - SA-CORE-2026-004 (Englisch)https://www.drupal.org/sa-core-2026-004\n\nUpcoming highly critical release on May 20, 2026 - PSA-2026-05-18 (Englisch)https://www.drupal.org/psa-2026-05-18\n\nVorank&uuml;ndigung: Kritische Sicherheitsl&uuml;cke in Drupal Core - Patch-Verf&uuml;gbarkeit am 20. Mai 2026 (Deutsch)https://www.cert.at/de/aktuelles/2026/5/drupal-critical-preannounce", "creation_timestamp": "2026-05-20T18:43:04.000000Z"}