IRCNF
Security

Drupal corrige falha no PostgreSQL que pode levar à execução remota de código

The Hacker News
Compartilhar:
Drupal corrige falha no PostgreSQL que pode levar à execução remota de código

A Drupal lançou atualizações emergenciais de segurança para o CVE-2026-9082, uma falha específica do PostgreSQL no núcleo do Drupal que permite que atacantes anônimos enviem requisições maliciosas e realizem injeção arbitrária de SQL. No pior cenário, a Drupal afirma que o bug pode levar à divulgação de informações, escalada de privilégios ou execução remota de código.

O problema é significativo porque reside na camada de abstração de banco de dados do Drupal, um código que muitos administradores de sites raramente consideram, já que deveria sanitizar as consultas antes de enviá-las ao banco. Quando essa camada falha, o raio de dano se estende além de um único módulo: a vulnerabilidade afeta o tratamento central de requisições em sites que usam PostgreSQL, o que significa que atacantes podem não precisar de uma conta autenticada para começar a sondar o sistema.

De acordo com detalhes destacados pelo The Hacker News, a falha afeta apenas implantações do Drupal que utilizam PostgreSQL, e não MySQL ou MariaDB. A Drupal publicou versões corrigidas para as ramificações suportadas, incluindo 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10. O Drupal 7 não é afetado, enquanto as ramificações não suportadas Drupal 8 e Drupal 9 receberam patches manuais de melhor esforço devido à gravidade do bug.

Essa lista de versões é um sinal importante para administradores. Se uma equipe ainda estiver executando uma ramificação com fim de vida, este aviso é um lembrete de que software não suportado pode rapidamente transformar um bug de banco de dados em um problema mais amplo de resposta a incidentes. Mesmo para ramificações suportadas, corrigir apenas o pacote principal não é suficiente se ambientes de staging, backup ou secundários ficarem para trás em versões antigas.

Para as equipes de segurança, a tarefa imediata é direta: identificar todos os sites Drupal que usam PostgreSQL, atualizar para a ramificação corrigida e revisar os logs em busca de requisições suspeitas não autenticadas que acessem endpoints voltados ao banco de dados. A reportagem de origem veio do The Hacker News, com base no aviso de segurança e nas orientações de lançamento da Drupal.

securitydrupalpostgresqlrcesql-injectioncve-2026-9082

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Compartilhar: