PT-2026-42228 · Postgresql Global Development Group+1 · Postgresql+1

Anna Kalata

+15

·

Publicado

2026-05-20

·

Atualizado

2026-06-21

·

CVE-2026-9082

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Drupal core versões 8.9.0 até 10.4.9 Drupal core versões 10.5.0 até 10.5.9 Drupal core versões 10.6.0 até 10.6.8 Drupal core versões 11.0.0 até 11.1.9 Drupal core versões 11.2.0 até 11.2.11 Drupal core versões 11.3.0 até 11.3.9
Description Uma falha de injeção de SQL não autenticada existe na API de abstração de banco de dados do Drupal core, especificamente no manipulador de condições EntityQuery do PostgreSQL. O problema ocorre porque chaves de arrays associativos PHP controladas pelo invasor são concatenadas diretamente em identificadores SQL sem a devida sanitização ou escape. Isso permite que usuários anônimos remotos executem comandos SQL arbitrários em sites que utilizam bancos de dados PostgreSQL. A exploração bem-sucedida pode levar ao acesso total ao banco de dados, exfiltração de dados sensíveis, como tokens de sessão e hashes de senhas, escalonamento de privilégios para Administrador e, potencialmente, execução remota de código (RCE) se as permissões do banco de dados estiverem mal configuradas (por exemplo, permitindo COPY FROM PROGRAM).
A exploração no mundo real está ativa, com mais de 15.000 sondagens de ataque detectadas em aproximadamente 6.000 sites em 65 países, visando principalmente serviços financeiros e de jogos. A vulnerabilidade é acionada por meio de chaves de array manipuladas em URLs JSON:API, especificamente usando a estrutura filter[...][condition][value][malicious key].
Recommendations Atualizar para a versão 10.4.10 para as versões 8.9.0 até 10.4.9. Atualizar para a versão 10.5.10 para as versões 10.5.0 até 10.5.9. Atualizar para a versão 10.6.9 para as versões 10.6.0 até 10.6.8. Atualizar para a versão 11.1.10 para as versões 11.0.0 até 11.1.9. Atualizar para a versão 11.2.12 para as versões 11.2.0 até 11.2.11. Atualizar para a versão 11.3.10 para as versões 11.3.0 até 11.3.9. Restringir as funções de usuário que possuem a capacidade de atualizar modelos Twig via Views ou módulos contribuídos. Como mitigação temporária, direcione o tráfego de produção através de um Web Application Firewall (WAF) para filtrar assinaturas de payloads de arrays aninhados maliciosos.

Exploit

Correção

LPE

RCE

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-07114
BIT-DRUPAL-2026-9082
CVE-2026-9082
DRUPAL-CORE-2026-004
GHSA-GHWC-95X2-682J

Produtos afetados

Drupal
Postgresql