Jetzt patchen! Angreifer nutzen kritische Schadcode-Lücke in Drupal aus

Die Drupal-Entwickler warnen vor Attacken auf mit dem Content-Management-System (CMS) erstellte Internetseiten. Im Anschluss haben Angreifer Zugriff auf eigentlich abgeschottete Daten. Sie können sich aber auch höhere Rechte verschaffen oder sogar Schadcode aus der Ferne ausführen. Sicherheitsupdates stehen zum Download bereit.

Kritische Schadcode-Lücke

Wie aus einer mittlerweile um die Warnung vor laufenden Attacken aktualisierten Meldung des Softwareherstellers hervorgeht, ist die Sicherheitslücke (CVE-2026-9082) mit dem Bedrohungsgrad „kritisch“ eingestuft. Sie betrifft ausschließlich Websites, die PostgreSQL nutzen. Ist das der Fall, setzen Angreifer mit präparierten SQL-Injection-Attacken an der Schwachstelle an. Attacken sollen ohne Authentifizierung möglich sein. Wie Angriffe im Detail ablaufen, führen die Drupal-Entwickler derzeit nicht aus. Unklar ist zurzeit auch, in welchem Umfang die Attacken ablaufen.

Die Entwickler haben schon vor dem Erscheinen des Sicherheitspatches vor möglichen Attacken gewarnt und Admins in einer Meldung auf das Erscheinen des Updates vorbereitet.

Instanzen vor Attacken schützen

Von der Lücke sind auch Drupal-Versionen betroffen, für die der Support ausgelaufen ist. Aufgrund der Dringlichkeit haben die Entwickler aber trotzdem Sicherheitsupdates veröffentlicht. Sie geben an, die folgenden Ausgaben gegen die laufenden Attacken gerüstet zu haben:

• Drupal 8.9
• Drupal 9.5
• Drupal 10.4.10
• Drupal 10.5.10
• Drupal 10.6.9
• Drupal 11.1.10
• Drupal 11.2.12
• Drupal 11.3.10

Die Entwickler weisen darauf hin, dass nicht mehr im Support befindliche Ausgaben zwar dieses Sicherheitsupdate bekommen, sie aber nach wie vor über ältere Schwachstellen angreifbar sind. Demzufolge sollten Webadmins ein Upgrade auf eine noch unterstützte Version durchführen.

(des)