SchwachstellenHackerangriffeDatenschutz

Kritische Drupal-Lücke gefährdet PostgreSQL-Websites – RCE-Angriffe möglich

Von CyberDeutsch Redaktion
Kritische Drupal-Lücke gefährdet PostgreSQL-Websites – RCE-Angriffe möglich
Zusammenfassung

Das Open-Source-CMS Drupal hat eine kritische Sicherheitslücke (CVE-2026-9082) in seiner Core-Version geschlossen, die PostgreSQL-Datenbanken für Remote-Code-Execution-Angriffe anfällig macht. Die Schwachstelle befindet sich in einer Datenbank-Abstraktions-API, die eigentlich SQL-Injection-Angriffe verhindern soll. Angreifer können jedoch durch speziell präparierte Anfragen diese Schutzmaßnahmen umgehen und SQL-Injektionen durchführen, was zu Datenlecks, Privilegiensteigerung oder sogar zur vollständigen Übernahme betroffener Systeme führen kann. Besonders besorgniserregend ist, dass die Lücke von anonymen Nutzern ausgenutzt werden kann, ohne dass eine vorherige Authentifizierung erforderlich ist. Während Drupal 7 nicht betroffen ist, müssen Betreiber der unterstützten Versionen (11.3, 11.2, 10.6 und 10.5) dringend aktualisieren. In Deutschland betrifft dies insbesondere Webagenturen, größere Medienhäuser und Behörden, die auf Drupal bauen, sowie alle Unternehmen, die PostgreSQL-Datenbanken nutzen. Für längst veraltete Versionen wie Drupal 8 und 9 gibt es nur noch ad-hoc-Patches, da diese bereits das Ende ihres Lebenszyklus erreicht haben und keinen regulären Sicherheitssupport mehr erhalten.

Die Sicherheitslücke betrifft speziell die Datenbankabstraktions-API von Drupal Core, die zur Validierung von Datenbankabfragen und zum Schutz vor SQL-Injection-Angriffen eingesetzt wird. Allerdings enthält genau diese Komponente einen kritischen Fehler, der das Gegenteil bewirkt: Angreifer können gezielt manipulierte Anfragen senden, um arbitrary SQL-Injection-Attacken durchzuführen – aber nur gegen Websites mit PostgreSQL-Datenbanken.

Besonders problematisch ist, dass die Sicherheitslücke von anonymen Nutzern ausgenutzt werden kann, ohne dass eine Authentifizierung erforderlich ist. Mit einem CVSS-Score von 6,5 wird die Vulnerabilität als hochkritisch eingestuft. Das Schadenspotenzial ist erheblich: Unbefugte können sensible Daten auslesen, Benutzerrechte manipulieren oder im schlimmsten Fall vollständige Kontrolle über die Website erlangen.

Drupal hat für die aktuellen, unterstützten Versionen (11.3, 11.2, 10.6 und 10.5) sofort Sicherheitspatches bereitgestellt. Diese Updates enthalten neben dem Hauptfix auch Sicherheitsupdates für die abhängigen Komponenten Symfony und Twig, weshalb eine schnelle Installation essenziell ist. Drupal 7 ist von der Schwachstelle nicht betroffen.

Problematisch ist die Situation bei älteren Versionen: Drupal 8 und 9 haben bereits das Ende ihres Lebenszyklus erreicht und erhalten normalerweise keine Sicherheitsupdates mehr. Allerdings hat Drupal aufgrund der Schwere der Lücke ausnahmsweise manuelle Patches für diese Versionen zur Verfügung gestellt – allerdings ohne Gewährleistung. Versionen 11.1.x, 11.0.x, 10.4.x und darunter erhalten gar keine Sicherheitsabdeckung mehr.

Für deutsche Organisationen bedeutet dies: Websites, die auf älteren Drupal-Versionen laufen, sind potenziell ungeschützt gegen diese kritische Lücke. Ein Angriff könnte zur Verletzung der DSGVO führen, mit Meldepflichten und möglichen Bußgeldern bis zu 4 Prozent des Jahresumsatzes. Datenschutzbeauftragte und IT-Sicherheitsverantwortliche sollten daher unverzüglich alle Drupal-Installationen überprüfen, auf den aktuellen Stand prüfen und Updates einspielen. Das BSI empfiehlt zudem, die Logs auf verdächtige SQL-Anfragen zu analysieren, um mögliche bereits erfolgte Angriffe zu erkennen.

Ähnliche Artikel