CVE-2026-9082: Kritische SQL-Injection in Drupal Core - Massenangriffe laufen
Kurzfazit
Eine unauthentifizierte SQL-Injection in Drupal Core wird kurz nach Disclosure aktiv gegen tausende Websites ausgenutzt und kann bis zu Privilege Escalation und RCE führen. CISA hat US-Behörden zur Sofort-Patchung verpflichtet (KEV).
Was ist passiert?
In Drupal Core wurde eine unauthentifizierte SQL-Injection (CVE-2026-9082) gepatcht, die laut SecurityWeek kurz nach der Veröffentlichung bereits gegen tausende Websites ausgenutzt wird. Je nach Konstellation sind Information Disclosure, Privilege Escalation und Remote-Code-Execution möglich. CISA hat die Lücke in den KEV-Katalog aufgenommen und US-Bundesbehörden eine enge Frist zur Patchung gesetzt.
Betroffen sind u. a. Drupal Core 8.9.x sowie diverse 10.x- und 11.x-Zweige vor den jeweiligen Fix-Releases.
Warum ist das relevant?
- Unauthentifiziert ausnutzbar und bereits in breiter aktiver Ausnutzung (EPSS ~85 %)
- Drupal betreibt viele Behörden-, Bildungs- und Unternehmensseiten
- SQL-Injection ist verlässlich automatisierbar -> Massenscans und -exploits
- KEV-Listung mit behördlicher Patch-Anordnung unterstreicht die Dringlichkeit
Priorisierungssignale
| Signal | Wert |
|---|---|
| CVSS | 6.5 (Medium) - real eskaliert durch Massenausnutzung |
| EPSS | ~85 % |
| KEV-Status | aktiv ausgenutzt |
| Quellen | 8 Meldungen im Signal-Cluster |
| Sektor | u. a. Behörden |
Empfehlung
Drupal-Installationen unverzüglich auf die gepatchten Versionen heben und nach Exploit-Spuren in DB- und Webserver-Logs suchen.
Was Security-Teams jetzt prüfen sollten
- 1Alle Drupal-Instanzen und ihre Core-Version inventarisieren (auch vergessene/Legacy-Sites)
- 2Auf das jeweils gepatchte Release (10.4.10 / 10.5.10 / 10.6.9 / 11.x) aktualisieren
- 3DB- und Webserver-Logs auf SQL-Injection-Muster und anomale Queries prüfen
- 4WAF-Regeln gegen SQLi temporär verschärfen, bis gepatcht ist
- 5Bei Kompromittierungsverdacht: Sessions/Keys rotieren und Integrität der Inhalte prüfen