Zeer kritiek Drupal-lek maakt SQL Injection mogelijk, updates beschikbaar

[Captain Kirk]

Een zeer kritieke kwetsbaarheid in het contentmanagementsysteem (CMS) Drupal maakt SQL Injection mogelijk. Daardoor kunnen aanvallers toegang tot informatie krijgen. In bepaalde gevallen kan een aanvaller ook zijn rechten verhogen, code uitvoeren of zijn andere aanvallen mogelijk. Het probleem (CVE-2026-9082) raakt alleen Drupal-sites die PostgreSQL draaien. Vanwege de impact kwam Drupal met een voorwaarschuwing en heeft ook updates beschikbaar gemaakt voor CMS-versies die end-of-life zijn.

Meer dan een miljoen websites draaien op Drupal. Het beveiligingslek is aanwezig in de database abstraction API van Drupal die queries 'sanitized' om te voorkomen dat SQL Injection kan plaatsvinden. Het beveiligingslek in de API zorgt ervoor dat door het versturen van speciaal geprepareerde requests willekeurige SQL Injection mogelijk is. De kwetsbaarheid is door anonieme gebruikers te misbruiken, aldus het beveiligingsbulletin. Eerder waarschuwde het Drupal Security Team dat de kans aanwezig is dat aanvallers kort na het verschijnen van de patches misbruik van het probleem zullen maken. Beheerders worden dan ook opgeroepen om de patches zo snel mogelijk te installeren.

 

bron: https://www.security.nl