![cyber[contact]](assets/images/c/cybercontact-managed-cybersecurity-66b4955c.svg "cybercontact - managed cybersecurity"){kind=small}
Kritische Sicherheitslücke in Drupal Core - Updates verfügbar
20. Mai 2026
Beschreibung
In Drupal Core existiert eine SQL-Injection-Schwachstelle in der Datenbank-Abstraktions-API. Speziell gestaltete Anfragen können zu beliebigen SQL-Injections führen. Die Schwachstelle ist ausschließlich für Drupal-Installationen relevant, die PostgreSQL als Datenbank einsetzen, und kann ohne Authentifizierung durch anonyme Benutzer:innen ausgenutzt werden.
Zusätzlich zur SQL-Injection enthalten die Drupal-Releases für die unterstützten Versionszweige (11.3, 11.2, 10.6 und 10.5) auch Sicherheitsaktualisierungen für die Abhängigkeiten Symfony und Twig. Diese Abhängigkeits-Updates betreffen unabhängig von der eingesetzten Datenbank alle Drupal-Installationen.
CVE-Nummer(n): CVE-2026-9082
CVSS Base Score: N/A
Auswirkungen
Angreifer:innen können ohne Authentifizierung speziell gestaltete Anfragen senden und so beliebigen SQL-Code ausführen. Mögliche Folgen sind die Offenlegung von Informationen sowie in bestimmten Konstellationen Privilegieneskalation, Remote Code Execution oder weitere Angriffe.
Auch wenn die SQL-Injection nur PostgreSQL-Installationen betrifft, sind durch die mitveröffentlichten Updates für Symfony und Twig je nach Konfiguration und eingesetzten Contrib-Modulen alle Drupal-Sites potenziell von weiteren Schwachstellen betroffen.
Betroffene Systeme
Drupal Core in folgenden Versionsbereichen:
- Drupal 11.3.x: Versionen vor 11.3.10
- Drupal 11.2.x: Versionen vor 11.2.12
- Drupal 11.1.x und 11.0.x: Versionen vor 11.1.10 (End-of-Life)
- Drupal 10.6.x: Versionen vor 10.6.9
- Drupal 10.5.x: Versionen vor 10.5.10
- Drupal 10.4.x und frühere 10er-Versionen: vor 10.4.10 (End-of-Life)
- Drupal 9.x: alle Versionen (End-of-Life)
- Drupal 8.9.x: alle Versionen (End-of-Life)
Abhilfe
Drupal stellt für die unterstützten Versionszweige folgende Sicherheitsaktualisierungen bereit:
- Drupal 11.3.x: Update auf 11.3.10
- Drupal 11.2.x: Update auf 11.2.12
- Drupal 10.6.x: Update auf 10.6.9
- Drupal 10.5.x: Update auf 10.5.10
Für nicht mehr unterstützte Minor-Branches wurden ausschließlich zur Behebung dieser Schwachstelle gezielte Versionen veröffentlicht:
- Drupal 11.1.x und 11.0.x: Update auf 11.1.10
- Drupal 10.4.x und frühere 10er-Versionen: Update auf 10.4.10
Aufgrund der Schwere der Schwachstelle stellt Drupal zusätzlich manuell anzuwendende Patches für die End-of-Life-Versionen Drupal 9.5 und Drupal 8.9 bereit. Cert.at und cyber[contact] empfiehlt für diese Versionen mittelfristig eine Migration auf einen unterstützten Versionszweig.
Sites, die Drupal Steward einsetzen, sind laut Hersteller bereits vor bekannten Angriffsvektoren geschützt; die Aktualisierung sollte dennoch zeitnah erfolgen.
Da die Aktualisierungen auch Symfony und Twig betreffen, wird empfohlen zu überprüfen, welche Benutzerrollen Twig-Templates aktualisieren können (etwa über Views oder Contrib-Module).
Hinweis
Generell empfiehlt Cert.at und cyber[contact], sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n)
Drupal core - Highly critical - SQL injection - SA-CORE-2026-004 (Englisch)
https://www.drupal.org/sa-core-2026-004
Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18 (Englisch)
https://www.drupal.org/psa-2026-05-18
Vorankündigung: Kritische Sicherheitslücke in Drupal Core - Patch-Verfügbarkeit am 20. Mai 2026 (Deutsch)
https://www.cert.at/de/aktuelles/2026/5/drupal-critical-preannounce