O que aconteceu

O Drupal liberou atualizações de segurança para uma vulnerabilidade no Drupal Core, identificada como CVE-2026-9082. Segundo as informações divulgadas, a falha está em uma API de abstração de banco de dados usada para validar consultas e evitar ataques por injeção SQL.

Na prática, isso significa que uma pessoa mal-intencionada poderia enviar pedidos especialmente preparados contra um site vulnerável. O problema recebeu pontuação CVSS 6.5, mas foi classificado pelo Drupal como altamente crítico pelo tipo de impacto possível.

Como a falha funciona

A falha permite que consultas ao banco sejam manipuladas em sites Drupal que usam PostgreSQL. Injeção SQL é quando um atacante consegue interferir em comandos enviados ao banco de dados, podendo acessar informações, alterar comportamentos ou abrir caminho para ataques mais graves.

O Drupal informou que a exploração pode ser feita por usuários anônimos, ou seja, sem necessidade de login. Os impactos citados incluem divulgação de informações, elevação de privilégios e, em alguns casos, execução remota de código.

Como identificar risco

O primeiro ponto é confirmar se o site usa Drupal Core com PostgreSQL. A falha não afeta instalações com Drupal 7, conforme a divulgação. Equipes responsáveis devem verificar:

• se o site usa PostgreSQL como banco de dados;
• qual versão do Drupal Core está instalada;
• se há versões 8 ou 9 ainda em operação, pois já chegaram ao fim de vida;
• se existem logs com requisições incomuns em áreas que consultam dados do site.

Mesmo sem sinal visível de ataque, a exposição deve ser tratada como urgente quando o ambiente combina Drupal vulnerável e PostgreSQL.

O que fazer agora

As versões que corrigem o problema são: Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10. As versões suportadas também incluem atualizações de segurança relacionadas a Symfony e Twig, por isso a recomendação é instalar a versão mais recente do seu ramo.

Para Drupal 8 e Drupal 9, foram disponibilizados patches manuais como melhor esforço, mas essas versões continuam sem cobertura normal de segurança e podem manter outras falhas já conhecidas.

Checklist pratico

1. Confirme se o site Drupal usa PostgreSQL e registre a versão atual do Drupal Core.
2. Atualize para uma das versões corrigidas ou aplique o patch manual se estiver em Drupal 8 ou 9.
3. Revise logs, permissões de usuários e acessos recentes após a correção.

Perguntas frequentes

Todo site Drupal foi afetado?

Não. A falha afeta apenas sites Drupal que usam PostgreSQL. O Drupal 7 não foi afetado, conforme a divulgação.

É preciso estar logado para explorar a falha?

Não necessariamente. O Drupal informou que a exploração pode ser feita por usuários anônimos.

Atualizar apenas o Drupal Core resolve?

As versões corrigidas tratam a falha e também incluem atualizações de Symfony e Twig em ramos suportados. A orientação é instalar a versão mais recente disponível para o ambiente.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/highly-critical-drupal-core-flaw.html