Im Mittelpunkt steht CVE-2026-9082, eine SQL-Injection mit einem CVSS-Wert von 6.5, die sämtliche unterstützten Versionen von Drupal Core betrifft. Nach Darstellung der CISA lässt sich die Schwachstelle über speziell gestaltete Anfragen an die Datenbankabstraktions-API auslösen und kann zu einer Rechteausweitung sowie zur Ausführung von Schadcode aus der Ferne führen.
Bemerkenswert ist die Geschwindigkeit: Die ersten Hinweise auf Angriffe trafen weniger als zwei Tage nach der Veröffentlichung der Patches ein. In einer aktualisierten Fassung seines Sicherheitshinweises räumte Drupal ein, dass mittlerweile Ausnutzungsversuche in freier Wildbahn festgestellt würden.
Konkrete Zahlen liefert das zu Thales gehörende Unternehmen Imperva. Nach eigenen Beobachtungen zählte es mehr als 15.000 Angriffsversuche, die sich gegen knapp 6.000 einzelne Webseiten in 65 Ländern richteten. Die Angriffe zielten dem Unternehmen zufolge bislang vor allem auf Seiten aus dem Glücksspiel- und Finanzsektor, auf die zusammen fast die Hälfte aller Versuche entfiel.
Der Großteil der bisher beobachteten Aktivität wirke wie ein bloßes Abtasten, so Imperva. Das Muster deute darauf hin, dass Angreifer und Scanner zunächst darauf abzielten, exponierte Drupal-Seiten mit verwundbaren, auf PostgreSQL gestützten Konfigurationen aufzuspüren. Auch wenn die Aktivität derzeit von Erkundung und Validierung geprägt sei, könne eine erfolgreiche Ausnutzung wegen der Natur der Schwachstelle rasch von der Sondierung zur Datenabschöpfung oder Rechteausweitung übergehen.
Patches stehen für die betroffenen Versionen bereit. Bundesbehörden der zivilen US-Exekutive (Federal Civilian Executive Branch, FCEB) wurden aufgefordert, die Korrekturen für einen optimalen Schutz fristgerecht einzuspielen.
