Drupal hat das Sicherheitshinweis-Dokument zu CVE-2026-9082 aktualisiert und den Risikowert von 20 auf 23 angehoben, um zu berücksichtigen, dass inzwischen Exploit-Versuche in freier Wildbahn beobachtet werden. Drupal bewertet Schwachstellen nach dem NIST-CMSS-System, dessen Höchstwert bei 25 liegt – die Lücke rangiert damit nahe am Maximum.

Die betroffene API soll eigentlich dafür sorgen, dass Datenbankabfragen bereinigt werden, um SQL-Injection zu verhindern. Genau hier setzt der Fehler an: Speziell präparierte Anfragen führen bei Installationen mit PostgreSQL-Datenbanken zu beliebiger SQL-Injection. Nicht authentifizierte Angreifer können die Lücke nutzen, um an Informationen zu gelangen, und in einzelnen Fällen auch zur Rechteausweitung sowie zur Ausführung von Schadcode aus der Ferne.

Die Sicherheitsfirma Imperva meldet mehr als 15.000 Ausnutzungsversuche gegen knapp 6.000 Websites in 65 Ländern. Fast die Hälfte der Angriffe zielte auf Websites aus den Bereichen Gaming und Finanzdienstleistungen.

„Dieses Muster deutet darauf hin, dass Angreifer und Scanner in erster Linie versuchen, exponierte Drupal-Seiten mit verwundbaren, PostgreSQL-gestützten Konfigurationen aufzuspüren. Noch dominieren Erkundung und Validierung, doch angesichts der Art der Schwachstelle könnte eine erfolgreiche Ausnutzung schnell von der Sondierung zur Datenabschöpfung oder Rechteausweitung übergehen", warnt das Unternehmen.

Drupal hatte schon vor der Veröffentlichung des Patches gewarnt und prognostiziert, dass ein Exploit für CVE-2026-9082 innerhalb von Stunden oder Tagen nach der Offenlegung entstehen könnte.

Bemerkenswert ist die Seltenheit solcher Fälle: Als „hochkritisch" eingestufte Schwachstellen sind in Drupal seit Jahren nicht mehr gepatcht worden, und seit 2019 gab es keine Berichte mehr über neu ausgenutzte Drupal-Lücken. Vor 2019 hatten die als Drupalgeddon und Drupalgeddon2 bekannten Schwachstellen Schlagzeilen gemacht, weil über sie zahlreiche Websites kompromittiert wurden.