Zeer kritiek Drupal-lek maakt SQL Injection mogelijk, updates beschikbaar

In dit artikel:

Een kritieke kwetsbaarheid in het contentmanagementsysteem Drupal maakt SQL-injectie mogelijk en treft specifiek sites die PostgreSQL gebruiken (CVE-2026-9082). Door een fout in de database-abstractionlaag, die normaal queries moet ontsmetten, kunnen speciaal opgezette verzoeken door anonieme aanvallers worden misbruikt om data te lezen; in sommige situaties leidt dat ook tot privilege-escalatie of het uitvoeren van code. Drupal heeft daarom een waarschuwing uitgegeven en beveiligingsupdates beschikbaar gesteld — zelfs voor versies die officieel end-of-life zijn — omdat de impact groot genoeg is en het risico bestaat dat aanvallers snel misbruik gaan maken nadat patches uitkomen. Met meer dan een miljoen Drupal-sites wereldwijd is het advies van het Security Team helder: installeer de updates zo snel mogelijk. Beheerders die niet direct kunnen patchen doen er goed aan tijdelijke mitigaties te overwegen, zoals het beperken van toegang tot de site, het inschakelen van een web application firewall en het nauwlettend monitoren van logbestanden op verdachte SQL-activiteiten.