Drupal-Betreiber müssen schnell handeln: Die hochkritische Sicherheitslücke CVE-2026-9082 weist einen CVSS-Score von 20 von 25 Punkten auf – eine der schwerwiegendsten Bewertungen überhaupt. Das Entwicklerteam hatte bereits vor der Patch-Veröffentlichung gewarnt, dass Exploit-Code möglicherweise innerhalb von Stunden oder Tagen nach der Offenlegung entstehen könnte.
Die Anfälligkeit betrifft spezifisch Drupal-Installationen, die PostgreSQL-Datenbanken nutzen. Das CMS warnt, dass über manipulierte Anfragen SQL-Injection-Angriffe möglich werden, die das Datenbankabfrage-Sanitization-API kompromittieren. Ohne dass sich Angreifer authentifizieren müssen, können sie Datenbankeinträge abfragen, Benutzerrechte ausweiten oder sogar Befehle auf dem Server ausführen.
Aktualisierungen stehen für die Versionen 11.3, 11.2, 10.6 und 10.5.x zur Verfügung. Parallel wurden auch wichtige Sicherheitslücken in den Symfony- und Twig-Abhängigkeiten von Drupal behoben. Drupal rät dringend, alle Abhängigkeiten zu aktualisieren, unabhängig davon, ob PostgreSQL zum Einsatz kommt.
Historisch ist dies bemerkenswert: Es ist das erste hochkritische Sicherheitsloch bei Drupal seit Jahren. Das letzte großflächig ausgenutzte Drupal-Angriff-Duo waren “Drupalgeddon” und “Drupalgeddon2” vor 2019, die damals Hunderttausende Websites kompromittierten. Seitdem gab es zwar regelmäßig Patches, doch keine vergleichbaren kritischen Lücken.
Für deutsche Unternehmen bedeutet dies höchste Priorität: Websites, die Kundendaten verarbeiten, unterliegen der DSGVO. Ein Sicherheitsvorfall durch diese Lücke könnte zur Meldepflicht gegenüber der zuständigen Datenschutzbehörde (Datenschutzbeauftragte oder BfDI) und potenziellen Bußgeldern bis 4 Prozent des Jahresumsatzes führen. IT-Sicherheitsverantwortliche sollten ihren Drupal-Bestand sofort überprüfen und betroffene Systeme prioritär einspielen.