IRCNF
Security

Drupal schließt PostgreSQL-Sicherheitslücke, die zu Remote-Code-Ausführung führen kann

The Hacker News
Teilen:
Drupal schließt PostgreSQL-Sicherheitslücke, die zu Remote-Code-Ausführung führen kann

Drupal hat notfallmäßige Sicherheitsupdates für CVE-2026-9082 veröffentlicht – eine PostgreSQL-spezifische Schwachstelle im Drupal Core, die es anonymen Angreifern erlaubt, manipulierte Anfragen zu senden und beliebige SQL-Injection auszulösen. Im schlimmsten Fall kann der Fehler laut Drupal zu Informationspreisgabe, Privilegieneskalation oder Remote-Code-Ausführung führen.

Das Problem ist bedeutsam, weil es in der Datenbank-Abstraktionsschicht von Drupal sitzt – einem Codebereich, um den sich viele Seitenbetreiber selten kümmern, da er eigentlich Abfragen bereinigen soll, bevor sie die Datenbank erreichen. Wenn diese Schicht versagt, erweitert sich der Auswirkungsbereich über ein einzelnes Modul hinaus: Die Schwachstelle betrifft die Kern-Anfrageverarbeitung auf Sites, die PostgreSQL verwenden, was bedeutet, dass Angreifer unter Umständen keinen authentifizierten Account benötigen, um mit Sondierungen zu beginnen.

Laut Details, die The Hacker News hervorhob, betrifft der Fehler nur Drupal-Installationen, die PostgreSQL statt MySQL oder MariaDB nutzen. Drupal hat behobene Versionen für unterstützte Branches veröffentlicht, darunter 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 und 10.4.10. Drupal 7 ist nicht betroffen, während nicht mehr unterstützte Drupal-8- und Drupal-9-Branches aufgrund des Schweregrads des Fehlers manuelle Patches nach bestem Bemühen erhalten haben.

Diese Versionsliste ist ein wichtiges Signal für Administratoren. Falls ein Team noch einen Zweig am Ende seines Lebenszyklus betreibt, erinnert dieses Advisory daran, dass nicht unterstützte Software schnell aus einem Datenbankfehler ein breiteres Incident-Response-Problem machen kann. Selbst bei unterstützten Branches reicht es nicht, nur das Core-Paket zu patchen, wenn Staging-, Backup- oder sekundäre Umgebungen auf älteren Builds zurückgelassen werden.

Für Sicherheitsteams ist die unmittelbare Aufgabe klar: Jede Drupal-Seite identifizieren, die PostgreSQL verwendet, auf die reparierte Version aktualisieren und Logs auf verdächtige nicht authentifizierte Anfragen prüfen, die auf datenbanknahe Endpunkte abzielen. Die Berichterstattung stammt von The Hacker News, basierend auf Drupals Sicherheitshinweis und den Release-Anleitungen.

securitydrupalpostgresqlrcesql-injectioncve-2026-9082

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Teilen: