Bei einer SQL-Injection schleusen Angreifer über Eingabefelder oder Dialoge einer Website manipulierte SQL-Befehle in Datenbankabfragen ein. In der Folge lassen sich Datenbankinhalte unbefugt einsehen, verändern oder löschen.
Drupal stuft die Lücke als „hochkritisch" ein und vergibt einen internen Wert von 23 von 25 Punkten. Das NIST bewertet sie hingegen als „mittelschwer" auf Basis eines CVSS-v3-Werts von 6,5. In der aktualisierten Sicherheitsmitteilung heißt es, der Risikowert sei angehoben worden, um widerzuspiegeln, dass nun Ausnutzungsversuche in freier Wildbahn beobachtet werden.
CVE-2026-9082 betrifft eine breite Spanne von Drupal-Versionen. Betreiber und Administratoren sollten unverzüglich auf die jeweils aktuelle Version ihres Zweigs aktualisieren.
Wer kein PostgreSQL einsetzt, sollte das Update dennoch einspielen: Die aktuellen Sicherheitsaktualisierungen enthalten auch Korrekturen für vorgelagerte Abhängigkeiten, darunter Symfony und Twig.
Die Mitteilung weist zudem darauf hin, dass Drupal 8 und 9 das Ende ihrer Lebensdauer erreicht haben und Patches nur noch „nach bestem Bemühen" bereitgestellt werden. Da diese Zweige weiterhin andere bekannte Schwachstellen enthalten, ist ihr fortgesetzter Einsatz grundsätzlich riskant.
