Die Schwachstelle liegt in einer Datenbank-Abstraktions-API von Drupal Core, die eigentlich dafür sorgen soll, dass Datenbankabfragen validiert und gegen SQL-Injection bereinigt werden. Genau an dieser Stelle setzt der Fehler an.
„Eine Schwachstelle in dieser API erlaubt es einem Angreifer, speziell präparierte Anfragen zu senden, was bei Seiten mit PostgreSQL-Datenbanken zu beliebiger SQL-Injection führt", erklärte Drupal. „Das kann zur Offenlegung von Informationen führen und in einigen Fällen zu Rechteausweitung, Remote Code Execution oder anderen Angriffen."
Drupal betont, dass die Lücke von anonymen Nutzern ausgenutzt werden kann und ausschließlich Seiten mit PostgreSQL betrifft. Installationen mit anderen Datenbanken sind demnach nicht angreifbar. Geführt wird der Fehler unter CVE-2026-9082 mit einem CVSS-Wert von 6,5 laut CVE.org.
Korrigiert wird das Problem in den Versionen 11.3, 11.2, 10.6 und 10.5. Diese Releases für die unterstützten Zweige enthalten zudem vorgelagerte Sicherheitsupdates für Symfony und Twig, weshalb Drupal das Einspielen der jeweils aktuellen Version als wesentlich bezeichnet. Drupal 7 ist von der Schwachstelle nicht betroffen.
Für die bereits abgekündigten Versionen Drupal 8 und 9 hat Drupal nach eigenen Angaben manuelle Patches bereitgestellt. Auch Drupal 11.1.x, 11.0.x, 10.4.x und ältere Zweige gelten als End-of-Life und erhalten keine reguläre Sicherheitsunterstützung mehr.
„Aufgrund der Schwere dieses Problems werden die nicht unterstützten Releases und die Patches für nicht unterstützte Versionen als bestmögliche Bemühung bereitgestellt", so Drupal. „Diese nicht unterstützten Versionen werden weiterhin andere, bereits offengelegte Sicherheitslücken aufweisen." Wer eine solche Version betreibt, schließt mit dem Patch also nur diese eine Lücke, nicht die übrigen bekannten Schwachstellen.
