Die Schwachstelle liegt nach Angaben von Drupal in einer Schnittstelle, die Datenbankabfragen bereinigen soll. „Eine Schwachstelle in dieser API ermöglicht es einem Angreifer, speziell präparierte Anfragen zu senden, was bei Websites mit PostgreSQL-Datenbanken zu beliebiger SQL-Injection führt", erklärt das Projekt. Möglich seien dadurch Informationszugriff ohne Anmeldung sowie in einzelnen Fällen Rechteausweitung und die Ausführung von Schadcode aus der Ferne.
Da das Content-Management-System nur in Verbindung mit PostgreSQL angreifbar ist, sind Installationen mit anderen Datenbanken von dieser konkreten Lücke nicht betroffen. Korrigierte Fassungen liegen für die Drupal-Versionen 11.3, 11.2, 10.6 und 10.5.x vor.
Die jüngsten Aktualisierungen beheben zugleich als „wichtig" eingestufte Schwachstellen in Symfony und Twig, die sich auf Drupal auswirken. „Je nach Konfiguration Ihrer Website und den eingesetzten Contrib-Modulen können Sie von einem oder mehreren dieser vorgelagerten Probleme betroffen sein, weshalb eine Aktualisierung dieser Abhängigkeiten dringend empfohlen wird – unabhängig davon, ob die SQL-Injection-Schwachstelle auf Sie zutrifft oder nicht", rät Drupal.
Schwachstellen werden in Drupal regelmäßig geschlossen, doch nur wenige davon sind gravierend, und eine als „hochkritisch" bewertete Lücke gab es seit Jahren nicht mehr. Seit 2019 sind keine Fälle bekannt geworden, in denen neue Drupal-Schwachstellen aktiv ausgenutzt wurden. In den Jahren davor wurden mehrere Lücken angegriffen, darunter Drupalgeddon und Drupalgeddon2, mit denen zahlreiche Websites kompromittiert wurden.
