Die Schwachstelle CVE-2026-9082 betrifft einen kritischen Fehler in der Datenbankabstraktions-API von Drupal Core. Angreifer können durch speziell präparierte Anfragen SQL-Injections durchführen und dadurch ihre Privilegien erhöhen oder sogar Fernzugriff auf betroffene Systeme erlangen. Die CISA bestätigt, dass der Exploit bereits in freier Wildbahn eingesetzt wird.
Laut Imperva-Analyse zeigt das aktuelle Angriffsmuster, dass sich Angreifer derzeit vornehmlich auf Aufklärung konzentrieren. Sie versuchen, exponierte Drupal-Installationen mit verwundbaren PostgreSQL-Konfigurationen zu identifizieren. Dies ist typisch für die erste Phase einer Kampagne: Reconnaissance und Validierung der Angriffsziele. Doch die Natur der Schwachstelle warnt Sicherheitsexperten vor schneller Eskalation – sobald die anfängliche Netzwerk-Kartierung abgeschlossen ist, könnten Angreifer zu Datendiebstahl und umfassenden Systemkompromittierungen übergehen.
Drupal hatte Patches bereitgestellt und am 22. Mai 2026 offiziell bestätigt, dass Exploit-Versuche live im Einsatz sind. Die Patches sind für alle unterstützten Versionen verfügbar. CISA empfiehlt US-Bundesbehörden (FCEB-Agenturen), Updates bis zum 27. Mai 2026 einzuspielen.
Für den deutschsprachigen Raum ist besondere Aufmerksamkeit erforderlich: Viele mittelständische und große Unternehmen sowie öffentliche Institutionen nutzen Drupal für ihre Web-Präsenzen. Die Datenschutz-Grundverordnung (DSGVO) verpflichtet betroffene Organisationen, Sicherheitsverletzungen mit Personendatenbezug unverzüglich zu melden – drohen Bußgelder bis zu 4 Prozent des Jahresumsatzes. Das BSI wird voraussichtlich zeitnah eine Warnmitteilung herausgeben.
Organisationen sollten sofort überprüfen, ob Drupal mit PostgreSQL im Einsatz ist, und Updates unverzüglich einspielen. Web Application Firewalls (WAF) können als Übergangslösung eingesetzt werden, um Angriffsmuster zu blockieren – das Patch bleibt jedoch die primäre Lösung.