CVE-2026-9082

Nome do Software Vulnerável e Versões Afetadas Drupal core versões 8.9.0 até 10.4.9 Drupal core versões 10.5.0 até 10.5.9 Drupal core versões 10.6.0 até 10.6.8 Drupal core versões 11.0.0 até 11.1.9 Drupal core versões 11.2.0 até 11.2.11 Drupal core versões 11.3.0 até 11.3.9

Descrição Uma falha de injeção de SQL não autenticada existe na API de abstração de banco de dados do Drupal core, especificamente no manipulador de condições EntityQuery do PostgreSQL. O problema ocorre porque chaves de arrays associativos PHP controladas pelo invasor, como as usadas em URLs JSON:API (ex: filter[...][condition][value][malicious key]), são concatenadas diretamente em identificadores SQL sem a devida sanitização ou escape. Esta vulnerabilidade afeta exclusivamente sites que utilizam bancos de dados PostgreSQL. A exploração bem-sucedida permite que usuários anônimos remotos executem comandos SQL arbitrários, podendo levar ao acesso total ao banco de dados, exfiltração de dados sensíveis, como tokens de sessão e hashes de senhas, e escalonamento de privilégios para Administrador. Em ambientes onde as permissões do banco de dados estão mal configuradas (ex: permitindo COPY FROM PROGRAM), isso pode resultar em execução remota de código (RCE). A exploração no mundo real foi detectada globalmente, com mais de 15.000 sondagens de ataque visando aproximadamente 6.000 sites, particularmente nos setores de jogos e serviços financeiros.

Recomendações Atualizar para a versão 10.4.10 para as versões 8.9.0 até 10.4.9. Atualizar para a versão 10.5.10 para as versões 10.5.0 até 10.5.9. Atualizar para a versão 10.6.9 para as versões 10.6.0 até 10.6.8. Atualizar para a versão 11.1.10 para as versões 11.0.0 até 11.1.9. Atualizar para a versão 11.2.12 para as versões 11.2.0 até 11.2.11. Atualizar para a versão 11.3.10 para as versões 11.3.0 até 11.3.9. Restringir as funções de usuário que possuem a capacidade de atualizar templates Twig via Views ou módulos contribuídos. Direcionar o tráfego de produção através de um Web Application Firewall (WAF) para filtrar assinaturas de payloads de arrays aninhados maliciosos como mitigação temporária. Revisar os logs do PostgreSQL e do WAF em busca de consultas incomuns de usuários anônimos ou modificações estruturais de consultas.