O Drupal alerta que hackers estão tentando explorar uma vulnerabilidade de SQL injection classificada como “altamente crítica”, anunciada no início desta semana.
O projeto do sistema de gerenciamento de conteúdo publicou um aviso em 18 de maio, recomendando que administradores reservem tempo para atualizar o núcleo e corrigir uma falha que poderia começar a ser explorada por threat actors “em poucas horas ou dias”.
A falha agora é acompanhada como
CVE-2026-9082
e foi descoberta pelo pesquisador Michael Maturi, da Google/Mandiant.
Ela afeta a API de abstração de banco de dados do Drupal e permite que requisições especialmente preparadas acionem SQL injection arbitrária em sites que usam PostgreSQL.
SQL injection é uma falha em que invasores inserem comandos SQL maliciosos em consultas ao banco de dados por meio de campos de entrada ou diálogos em sites, o que pode levar ao acesso não autorizado, à alteração ou à exclusão de dados.
A falha pode ser explorada sem autenticação e pode resultar em execução remota de código, elevação de privilégios e divulgação de informações.
Em uma atualização do aviso publicada em 22 de maio, o Drupal confirmou que tentativas de exploração foram detectadas.
“O escore de risco foi atualizado para refletir que tentativas de exploit agora estão sendo detectadas em ambiente real”, diz o aviso atualizado.
O Drupal classificou a vulnerabilidade como “altamente crítica”, atribuindo a ela uma pontuação interna de 23 em 25.
Já o NIST a avaliou como de “severidade média”, com base em uma pontuação CVSS v3 de 6,5.
A
CVE-2026-9082
afeta uma ampla faixa de versões do Drupal, incluindo:
- Drupal 8.9.x
- Drupal 10.4.x anteriores à 10.4.10
- Drupal 10.5.x anteriores à 10.5.10
- Drupal 10.6.x anteriores à 10.6.9
- Drupal 11.0.x / 11.1.x anteriores à 11.1.10
- Drupal 11.2.x anteriores à 11.2.12
- Drupal 11.3.x anteriores à 11.3.10
Proprietários de sites e administradores são recomendados a atualizar imediatamente para a versão mais recente disponível da sua linha de produto.
Mesmo quem não usa PostgreSQL também deve atualizar, já que as correções de segurança mais recentes incluem ajustes em dependências upstream, como Symfony e Twig.
O aviso destaca ainda que Drupal 8 e 9 chegaram ao fim de vida útil (EoL) e que os patches são fornecidos em regime de “melhor esforço”.
Ainda assim, essas versões continuam com outras vulnerabilidades conhecidas, o que torna sua manutenção um risco inerente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...