SchwachstellenHackerangriffeDatenschutz

Drupal warnt vor kritischer SQL-Injection-Lücke – Angriffe bereits im Gange

Von CyberDeutsch Redaktion
Drupal warnt vor kritischer SQL-Injection-Lücke – Angriffe bereits im Gange
Zusammenfassung

Eine kritische SQL-Injection-Lücke in Drupal wird bereits aktiv von Hackern ausgenutzt. Das Open-Source-Content-Management-System warnte am 18. Mai vor der als CVE-2026-9082 eingestuften Schwachstelle, die von Google/Mandiant-Forscher Michael Maturi entdeckt wurde. Die Sicherheitslücke in Drupals Datenbank-API ermöglicht es Angreifern, über manipulierte Anfragen SQL-Befehle einzuschleusen und so ohne Authentifizierung auf Datenbanken zuzugreifen – besonders bei PostgreSQL-Installationen. Drupal stufte die Lücke als „highly critical" ein, mittlerweile werden Exploitversuche in der Praxis dokumentiert. Die Schwachstelle betrifft zahlreiche Drupal-Versionen und könnte Remote-Code-Execution, Privilege-Escalation und Datenlecks ermöglichen. Für deutsche Unternehmen und Behörden, die Drupal als CMS einsetzen, ist sofortiges Handeln erforderlich. Website-Betreiber sollten unverzüglich auf die neuesten verfügbaren Versionen aktualisieren. Besonders kritisch ist die Situation für Nutzer veralteter Versionen wie Drupal 8 und 9, die nur eingeschränkten Support erhalten. Experten raten dringend zum sofortigen Update, da die Exploitierbarkeit ohne Authentifizierung das Risiko erheblich erhöht.

Drupal hat am 18. Mai eine öffentliche Sicherheitsmitteilung veröffentlicht und darin vor einer kritischen SQL-Injection-Lücke gewarnt. Bereits vier Tage später bestätigte das CMS-Projekt, dass Exploitierungsversuche in der Wildbahn stattfinden. Die Schwachstelle CVE-2026-9082 wurde von Michael Maturi, einem Sicherheitsforscher bei Google/Mandiant, entdeckt und betrifft die Datenbankabstraktions-API von Drupal.

Die Lücke ermöglicht es Angreifern, speziell präparierte Anfragen zu senden, um SQL-Injektionen auf Systemen auszulösen, die PostgreSQL als Datenbanksystem nutzen. SQL-Injection ist eine weit verbreitete Angriffstechnik, bei der Hacker bösartige SQL-Befehle über Eingabefelder oder Dialoge in Webseiten einschleusen und so unauthorized Zugriff auf sensible Daten erhalten können.

Besonders kritisch: Die Lücke ist ohne Authentifizierung ausnutzbar. Das bedeutet, ein Angreifer muss sich nicht einmal anmelden, um die Schwachstelle auszunutzen. Die möglichen Folgen sind weitreichend – Remote-Code-Execution, Privilegien-Eskalation und Informationspreisgabe sind denkbar. Drupal hat das interne Risikoscore auf 23 von 25 Punkten gesetzt, was die Kritikalität unterstreicht. Das US-amerikanische NIST bewertet die Schwachstelle allerdings als mittelschwer (CVSS 6.5), eine Bewertung, die die tatsächliche Gefahr eher zu verharmlosen scheint.

Die Lücke betrifft ein breites Spektrum an Drupal-Versionen. Drupal empfiehlt allen Administratoren, sofort auf die neueste verfügbare Version ihrer jeweiligen Branch zu upgraden. Besonders problematisch ist die Situation für Nutzer von Drupal 8 und 9, die bereits das End-of-Life (EoL) erreicht haben. Für diese Versionen werden Patches nur noch auf Best-Effort-Basis bereitgestellt – ein klares Signal, dass längerfristiger Support nicht garantiert ist.

Auch wer nicht PostgreSQL nutzt, sollte aktualisieren: Die Sicherheitsupdates enthalten zusätzliche Fixes für abhängige Komponenten wie Symfony und Twig. Diese Abhängigkeiten könnten andernfalls zu weiteren Sicherheitslücken führen.

Für deutsche Organisationen ist dies eine Gelegenheit, ihre Sicherheitskultur zu demonstrieren. Ein Datenschutzverstoß durch fehlende oder verspätete Patches kann zu erheblichen Konsequenzen führen. Die schnelle Behebung dieser Lücke ist daher nicht nur ein technisches, sondern auch ein Compliance-Gebot.

Ähnliche Artikel