SchwachstellenHackerangriffeDatenschutz

Drupal-Lücke CVE-2026-9082: Tausende Websites unter Beschuss

Von CyberDeutsch Redaktion
Drupal-Lücke CVE-2026-9082: Tausende Websites unter Beschuss
Zusammenfassung

# Drupal-Schwachstelle CVE-2026-9082 im Visier von Hackern Kurz nach der öffentlichen Bekanntmachung der kritischen Sicherheitslücke CVE-2026-9082 in Drupal warnt das Projektteam bereits vor aktiven Exploitierungsversuchen. Die Schwachstelle betrifft eine Datenbankabfrage-API, die SQL-Injektionen verhindern soll – ein Versprechen, das die fehlerhafte Implementierung jedoch nicht einlöst. Angreifer können über speziell präparierte Anfragen SQL-Befehle einschleusen und dadurch auf sensible Daten zugreifen, Berechtigungen eskalieren oder sogar Code ferngesteuert ausführen. Das Besondere: Die Lücke trifft nur Drupal-Installationen mit PostgreSQL-Datenbanken, was laut Drupal weniger als fünf Prozent der weltweit genutzten Websites betreffen sollte. Allerdings zeigen Berichte von Sicherheitsfirmen wie Imperva bereits über 15.000 Exploitierungsversuche gegen fast 6.000 Websites in 65 Ländern, mit Schwerpunkt auf Finanz- und Gaming-Sektor. Für deutsche Unternehmen und Behörden, die Drupal einsetzen, bedeutet dies: Sofortige Überprüfung der eingesetzten Datenbanksysteme und zügiges Einspielen der Sicherheitspatch sind essentiell.

Die Sicherheitslücke CVE-2026-9082 ist nicht irgendeine Schwachstelle – sie gilt als hochkritisch und ermöglicht unauthentifizierten Angreifern, beliebige SQL-Injektionen durchzuführen. Das betroffene API war speziell dazu entwickelt worden, Datenbankabfragen zu sanitieren und damit SQL-Injection-Angriffe zu verhindern. Der Fehler kehrt diese Sicherheitsmaßnahme ins Gegenteil um: Angreifer können durch speziell präparierte Anfragen auf PostgreSQL-Datenbanken zugreifen, sensible Daten auslesen oder im schlimmsten Fall Remote-Code-Execution erlangen.

Drupal hatte vor der Patch-Veröffentlichung am 20. Mai bereits vorgewarnt, dass Exploits innerhalb von Stunden oder Tagen erwartet werden könnten. Diese Warnung sollte sich als prophetisch erweisen. Am 22. März wurde die offizielle Sicherheitsmitteilung aktualisiert: Der Risiko-Score wurde von 20 auf 23 angehoben – auf einer Skala bis 25 im NIST-CVSS-System – um widerzuspiegeln, dass bereits Exploitversuche in der Praxis dokumentiert worden sind.

Die Zahlen von Imperva verdeutlichen das Ausmaß: Mehr als 15.000 Exploitversuche gegen nahezu 6.000 Websites auf fünf Kontinenten. Besonders brisant: Fast die Hälfte der Angriffe zielten auf Gaming- und Finanzdienstleistungs-Websites. Das deutet darauf hin, dass Angreifer gezielt nach verwundbaren Drupal-Installationen mit PostgreSQL-Backend suchen – zunächst zur Aufklärung und Validierung, aber mit dem offensichtlichen Ziel, schnell zu Datenexfiltration oder Privilegienerweiterung überzugehen.

Diesem Angriffsmuster liegt auch eine wenig beruhigende historische Erkenntnis zugrunde: Drupal hatte lange Zeit keine neuen kritischen Sicherheitslücken zu verzeichnen – die letzten dokumentierten Exploits in freier Wildbahn stammten aus dem Jahr 2019. Damals waren die legendären “Drupalgeddon” und “Drupalgeddon2”-Schwachstellen verantwortlich für die Kompromittierung zehntausender Websites. Dass nun wieder ein hochkritisches Loch nach so langer Zeit auftaucht und sofort massenweise angegriffen wird, verschärft die Situation erheblich.

Für deutsche Organisationen bedeutet dies: Sofortige Überprüfung, ob Drupal-Installationen mit PostgreSQL im Einsatz sind. Falls ja, muss der Patch unverzüglich eingespielt werden. Jede Verzögerung erhöht das Risiko einer Datenpanne – mit potenziellen DSGVO-Bußgeldern bis zu 4 Prozent des Jahresumsatzes und Meldepflichten an die zuständige Datenschutzbehörde.

Ähnliche Artikel