Een zeer kritieke kwetsbaarheid in het contentmanagementsysteem (CMS) Drupal maakt SQL Injection mogelijk. Daardoor kunnen aanvallers toegang tot informatie krijgen. In bepaalde gevallen kan een aanvaller ook zijn rechten verhogen, code uitvoeren of zijn andere aanvallen mogelijk. Het probleem (CVE-2026-9082) raakt alleen Drupal-sites die PostgreSQL draaien. Vanwege de impact kwam Drupal met een voorwaarschuwing en heeft ook updates beschikbaar gemaakt voor CMS-versies die end-of-life zijn.
Meer dan een miljoen websites draaien op Drupal. Het beveiligingslek is aanwezig in de database abstraction API van Drupal die queries 'sanitized' om te voorkomen dat SQL Injection kan plaatsvinden. Het beveiligingslek in de API zorgt ervoor dat door het versturen van speciaal geprepareerde requests willekeurige SQL Injection mogelijk is. De kwetsbaarheid is door anonieme gebruikers te misbruiken, aldus het beveiligingsbulletin. Eerder waarschuwde het Drupal Security Team dat de kans aanwezig is dat aanvallers kort na het verschijnen van de patches misbruik van het probleem zullen maken. Beheerders worden dan ook opgeroepen om de patches zo snel mogelijk te installeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
