IRCNF
Security

Drupal corrige una vulnerabilidad en PostgreSQL que puede provocar ejecución remota de código

The Hacker News
Compartir:
Drupal corrige una vulnerabilidad en PostgreSQL que puede provocar ejecución remota de código

Drupal ha publicado actualizaciones de seguridad de emergencia para CVE-2026-9082, una falla en el núcleo de Drupal específica de PostgreSQL que permite a atacantes anónimos enviar solicitudes manipuladas y desencadenar inyección SQL arbitraria. En el peor de los casos, Drupal afirma que el error puede provocar divulgación de información, escalada de privilegios o ejecución remota de código.

El problema es relevante porque reside en la capa de abstracción de base de datos de Drupal, un código que muchos propietarios de sitios rara vez consideran, ya que se supone que sanitiza las consultas antes de que lleguen a la base de datos. Cuando esa capa falla, el radio de explosión se extiende más allá de un solo módulo: la vulnerabilidad afecta el manejo de solicitudes del núcleo en sitios que ejecutan PostgreSQL, lo que significa que los atacantes pueden no necesitar una cuenta autenticada para comenzar a sondear en busca de acceso.

Según los detalles destacados por The Hacker News, la falla solo afecta a implementaciones de Drupal que usan PostgreSQL, no MySQL o MariaDB. Drupal ha publicado versiones corregidas para las ramas compatibles, incluidas 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 y 10.4.10. Drupal 7 no se ve afectado, mientras que las ramas no compatibles de Drupal 8 y Drupal 9 recibieron parches manuales de mejor esfuerzo debido a la gravedad del error.

Esa lista de versiones es una señal importante para los administradores. Si un equipo aún ejecuta una rama al final de su vida útil, este aviso es un recordatorio de que el software no compatible puede convertir rápidamente un error de base de datos en un problema más amplio de respuesta a incidentes. Incluso para las ramas compatibles, parchear solo el paquete del núcleo no es suficiente si los entornos de staging, copia de seguridad o secundarios se quedan atrás en versiones anteriores.

Para los equipos de seguridad, la tarea inmediata es sencilla: identificar cada sitio de Drupal que use PostgreSQL, actualizar a la rama corregida y revisar los registros en busca de solicitudes no autenticadas sospechosas que accedan a endpoints de base de datos. La información provino de The Hacker News, basada en el aviso de seguridad de Drupal y la guía de lanzamiento.

securitydrupalpostgresqlrcesql-injectioncve-2026-9082

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Compartir: