PT-2026-42228 · Postgresql Global Development Group+1 · Postgresql+1
Anna Kalata
+15
·
Publicado
2026-05-20
·
Atualizado
2026-06-21
·
CVE-2026-9082
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Drupal core versões 8.9.0 até 10.4.9
Drupal core versões 10.5.0 até 10.5.9
Drupal core versões 10.6.0 até 10.6.8
Drupal core versões 11.0.0 até 11.1.9
Drupal core versões 11.2.0 até 11.2.11
Drupal core versões 11.3.0 até 11.3.9
Description
Uma falha de injeção de SQL não autenticada existe na API de abstração de banco de dados do Drupal core, especificamente no manipulador de condições
EntityQuery do PostgreSQL. O problema ocorre porque chaves de arrays associativos PHP controladas pelo invasor são concatenadas diretamente em identificadores SQL sem a devida sanitização ou escape. Isso permite que usuários anônimos remotos executem comandos SQL arbitrários em sites que utilizam bancos de dados PostgreSQL. A exploração bem-sucedida pode levar ao acesso total ao banco de dados, exfiltração de dados sensíveis, como tokens de sessão e hashes de senhas, escalonamento de privilégios para Administrador e, potencialmente, execução remota de código (RCE) se as permissões do banco de dados estiverem mal configuradas (por exemplo, permitindo COPY FROM PROGRAM).A exploração no mundo real está ativa, com mais de 15.000 sondagens de ataque detectadas em aproximadamente 6.000 sites em 65 países, visando principalmente serviços financeiros e de jogos. A vulnerabilidade é acionada por meio de chaves de array manipuladas em URLs JSON:API, especificamente usando a estrutura
filter[...][condition][value][malicious key].Recommendations
Atualizar para a versão 10.4.10 para as versões 8.9.0 até 10.4.9.
Atualizar para a versão 10.5.10 para as versões 10.5.0 até 10.5.9.
Atualizar para a versão 10.6.9 para as versões 10.6.0 até 10.6.8.
Atualizar para a versão 11.1.10 para as versões 11.0.0 até 11.1.9.
Atualizar para a versão 11.2.12 para as versões 11.2.0 até 11.2.11.
Atualizar para a versão 11.3.10 para as versões 11.3.0 até 11.3.9.
Restringir as funções de usuário que possuem a capacidade de atualizar modelos Twig via Views ou módulos contribuídos.
Como mitigação temporária, direcione o tráfego de produção através de um Web Application Firewall (WAF) para filtrar assinaturas de payloads de arrays aninhados maliciosos.
Exploit
Correção
LPE
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Drupal
Postgresql