Bug Crítico no Drupal Permite Execução Remota de Código
Desenvolvedores do Drupal lançaram patches de emergência para corrigir uma vulnerabilidade "altamente crítica" que afeta sites que usam PostgreSQL. A falha, identificada como CVE-2026-9082, é uma injeção de SQL que pode levar à execução remota de código.
MundiX News·23 de maio de 2026·2 min de leitura·👁 10 views
Desenvolvedores do Drupal lançaram patches de emergência para corrigir uma vulnerabilidade "altamente crítica" no Drupal Core, que afeta sites que utilizam PostgreSQL. A falha, identificada como CVE-2026-9082, está relacionada a uma injeção de SQL que, em certos cenários, pode levar à execução remota de código (RCE).
A vulnerabilidade reside na API de abstração de banco de dados do Drupal, um mecanismo crucial para verificar e limpar consultas, protegendo o CMS contra injeções de SQL. No entanto, um erro na API permitia que consultas especialmente formatadas fossem enviadas, executando consultas SQL arbitrárias em sites com PostgreSQL. Em sua pior forma, essa falha pode resultar em comprometimento de dados, escalonamento de privilégios e, o mais preocupante, execução remota de código. A exploração da vulnerabilidade pode ser realizada anonimamente, sem a necessidade de uma conta de usuário.
Correções já estão disponíveis para as seguintes versões do Drupal: Drupal 11.3.10, Drupal 11.2.12, Drupal 11.1.10, Drupal 10.6.9, Drupal 10.5.10 e Drupal 10.4.10. Os desenvolvedores enfatizam que o Drupal 7 não é afetado por essa vulnerabilidade. Além disso, as versões mais recentes para as ramificações suportadas incluem atualizações para Symfony e Twig, portanto, os administradores são incentivados a instalar as versões mais recentes o mais rápido possível. Embora o Drupal 8 e o Drupal 9 não sejam mais suportados, patches de "melhor esforço" também foram preparados para eles: Drupal 9.5 e Drupal 8.9. No entanto, essas correções devem ser instaladas manualmente, e os desenvolvedores alertam que as versões mais antigas permanecem vulneráveis a outros bugs previamente divulgados. O projeto também ressalta que o Drupal 11.1.x, 11.0.x, 10.4.x e versões mais antigas não recebem mais suporte total. Portanto, os proprietários de sites em versões desatualizadas são aconselhados a não se limitarem a patches temporários e a migrarem para as versões mais recentes do Drupal 11.3 ou 10.6 o mais rápido possível.
Antes mesmo da publicação dos detalhes da falha, os desenvolvedores do Drupal emitiram um raro aviso prévio sobre a próxima atualização, aconselhando os administradores a se prepararem para a aplicação urgente de patches. Na época, foi notado que exploits funcionais para o bug poderiam aparecer "em questão de horas ou dias" após a divulgação da informação. A designação "altamente crítica" raramente aparece nos boletins de segurança do Drupal nos últimos anos. Diante disso, muitos lembraram imediatamente do Drupalgeddon (CVE-2014-3704, injeção de SQL) e do Drupalgeddon2, vulnerabilidades de anos anteriores que foram amplamente exploradas por invasores para hackear sites em todo o mundo.
Desenvolvedores do Drupal lançaram patches de emergência para corrigir uma vulnerabilidade "altamente crítica" no Drupal Core, que afeta sites que utilizam PostgreSQL. A falha, identificada como CVE-2026-9082, está relacionada a uma injeção de SQL que, em certos cenários, pode levar à execução remota de código (RCE).
A vulnerabilidade reside na API de abstração de banco de dados do Drupal, um mecanismo crucial para verificar e limpar consultas, protegendo o CMS contra injeções de SQL. No entanto, um erro na API permitia que consultas especialmente formatadas fossem enviadas, executando consultas SQL arbitrárias em sites com PostgreSQL. Em sua pior forma, essa falha pode resultar em comprometimento de dados, escalonamento de privilégios e, o mais preocupante, execução remota de código. A exploração da vulnerabilidade pode ser realizada anonimamente, sem a necessidade de uma conta de usuário.
Correções já estão disponíveis para as seguintes versões do Drupal: Drupal 11.3.10, Drupal 11.2.12, Drupal 11.1.10, Drupal 10.6.9, Drupal 10.5.10 e Drupal 10.4.10. Os desenvolvedores enfatizam que o Drupal 7 não é afetado por essa vulnerabilidade. Além disso, as versões mais recentes para as ramificações suportadas incluem atualizações para Symfony e Twig, portanto, os administradores são incentivados a instalar as versões mais recentes o mais rápido possível. Embora o Drupal 8 e o Drupal 9 não sejam mais suportados, patches de "melhor esforço" também foram preparados para eles: Drupal 9.5 e Drupal 8.9. No entanto, essas correções devem ser instaladas manualmente, e os desenvolvedores alertam que as versões mais antigas permanecem vulneráveis a outros bugs previamente divulgados. O projeto também ressalta que o Drupal 11.1.x, 11.0.x, 10.4.x e versões mais antigas não recebem mais suporte total. Portanto, os proprietários de sites em versões desatualizadas são aconselhados a não se limitarem a patches temporários e a migrarem para as versões mais recentes do Drupal 11.3 ou 10.6 o mais rápido possível.
Antes mesmo da publicação dos detalhes da falha, os desenvolvedores do Drupal emitiram um raro aviso prévio sobre a próxima atualização, aconselhando os administradores a se prepararem para a aplicação urgente de patches. Na época, foi notado que exploits funcionais para o bug poderiam aparecer "em questão de horas ou dias" após a divulgação da informação. A designação "altamente crítica" raramente aparece nos boletins de segurança do Drupal nos últimos anos. Diante disso, muitos lembraram imediatamente do Drupalgeddon (CVE-2014-3704, injeção de SQL) e do Drupalgeddon2, vulnerabilidades de anos anteriores que foram amplamente exploradas por invasores para hackear sites em todo o mundo.
