Die Schwachstelle steckt in Drupals Datenbank-Abstraktions-API und wurde von Michael Maturi, einem Forscher bei Google/Mandiant, gemeldet. Sie lässt sich ohne vorherige Authentifizierung ausnutzen: Über speziell gestaltete Anfragen können Angreifer beliebige SQL-Injection auf Seiten auslösen, die mit PostgreSQL betrieben werden. Eine erfolgreiche Ausnutzung kann laut Quelle zu Informationsabfluss, Rechteausweitung und sogar zur Ausführung von Schadcode aus der Ferne führen.
Das Drupal-Sicherheitsteam bewertete den Fehler als „hochkritisch", stellte Patches bereit und bestätigte, dass Ausnutzungsversuche bereits in freier Wildbahn registriert wurden.
Die Sicherheitsorganisation Shadowserver beobachtet derzeit nahezu 670 ungepatchte Drupal-Installationen, die online erreichbar sind. Der Großteil entfällt auf Nordamerika (272) und Europa (273).
Die US-Cybersicherheitsbehörde CISA nahm die Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf und wies die zivilen Bundesbehörden (Federal Civilian Executive Branch, FCEB) an, ihre Systeme bis Mitternacht am Mittwoch, dem 27. Mai, abzusichern – wie es die Binding Operational Directive (BOD) 22-01 vorschreibt.
Obwohl die BOD 22-01 nur für US-Bundesbehörden gilt, riet CISA allen Verteidigern, auch im privaten Sektor, die Patches für CVE-2026-9082 so schnell wie möglich einzuspielen. „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar [..] Auch wenn die BOD 22-01 nur für FCEB-Behörden gilt, fordert CISA alle Organisationen nachdrücklich auf, ihre Angriffsfläche zu verringern, indem sie die zeitnahe Behebung von Schwachstellen aus dem KEV-Katalog im Rahmen ihres Schwachstellenmanagements priorisieren", warnte die Behörde.
Organisationen sollten Gegenmaßnahmen nach Herstelleranweisung umsetzen, die geltenden Vorgaben der BOD 22-01 für Cloud-Dienste befolgen oder das Produkt nicht weiter nutzen, falls keine Gegenmaßnahmen verfügbar sind.
In den vergangenen Jahren hat CISA fünf Drupal-Schwachstellen als in freier Wildbahn ausgenutzt markiert, zwei davon wurden auch in Ransomware-Angriffen missbraucht.
