Kritische Sicherheitslücke in Drupal Core - Updates verfügbar

20. Mai 2026

Beschreibung

In Drupal Core existiert eine SQL-Injection-Schwachstelle in der Datenbank-Abstraktions-API. Speziell gestaltete Anfragen können zu beliebigen SQL-Injections führen. Die Schwachstelle ist ausschließlich für Drupal-Installationen relevant, die PostgreSQL als Datenbank einsetzen, und kann ohne Authentifizierung durch anonyme Benutzer:innen ausgenutzt werden.

Zusätzlich zur SQL-Injection enthalten die Drupal-Releases für die unterstützten Versionszweige (11.3, 11.2, 10.6 und 10.5) auch Sicherheitsaktualisierungen für die Abhängigkeiten Symfony und Twig. Diese Abhängigkeits-Updates betreffen unabhängig von der eingesetzten Datenbank alle Drupal-Installationen.

CVE-Nummer(n): CVE-2026-9082

CVSS Base Score: N/A

Auswirkungen

Angreifer:innen können ohne Authentifizierung speziell gestaltete Anfragen senden und so beliebigen SQL-Code ausführen. Mögliche Folgen sind die Offenlegung von Informationen sowie in bestimmten Konstellationen Privilegieneskalation, Remote Code Execution oder weitere Angriffe.

Auch wenn die SQL-Injection nur PostgreSQL-Installationen betrifft, sind durch die mitveröffentlichten Updates für Symfony und Twig je nach Konfiguration und eingesetzten Contrib-Modulen alle Drupal-Sites potenziell von weiteren Schwachstellen betroffen.

Betroffene Systeme

Drupal Core in folgenden Versionsbereichen:

  • Drupal 11.3.x: Versionen vor 11.3.10
  • Drupal 11.2.x: Versionen vor 11.2.12
  • Drupal 11.1.x und 11.0.x: Versionen vor 11.1.10 (End-of-Life)
  • Drupal 10.6.x: Versionen vor 10.6.9
  • Drupal 10.5.x: Versionen vor 10.5.10
  • Drupal 10.4.x und frühere 10er-Versionen: vor 10.4.10 (End-of-Life)
  • Drupal 9.x: alle Versionen (End-of-Life)
  • Drupal 8.9.x: alle Versionen (End-of-Life)

Abhilfe

Drupal stellt für die unterstützten Versionszweige folgende Sicherheitsaktualisierungen bereit:

  • Drupal 11.3.x: Update auf 11.3.10
  • Drupal 11.2.x: Update auf 11.2.12
  • Drupal 10.6.x: Update auf 10.6.9
  • Drupal 10.5.x: Update auf 10.5.10

Für nicht mehr unterstützte Minor-Branches wurden ausschließlich zur Behebung dieser Schwachstelle gezielte Versionen veröffentlicht:

  • Drupal 11.1.x und 11.0.x: Update auf 11.1.10
  • Drupal 10.4.x und frühere 10er-Versionen: Update auf 10.4.10

Aufgrund der Schwere der Schwachstelle stellt Drupal zusätzlich manuell anzuwendende Patches für die End-of-Life-Versionen Drupal 9.5 und Drupal 8.9 bereit. CERT.at empfiehlt für diese Versionen mittelfristig eine Migration auf einen unterstützten Versionszweig.

Sites, die Drupal Steward einsetzen, sind laut Hersteller bereits vor bekannten Angriffsvektoren geschützt; die Aktualisierung sollte dennoch zeitnah erfolgen.

Da die Aktualisierungen auch Symfony und Twig betreffen, wird empfohlen zu überprüfen, welche Benutzerrollen Twig-Templates aktualisieren können (etwa über Views oder Contrib-Module).

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n)

Drupal core - Highly critical - SQL injection - SA-CORE-2026-004 (Englisch)
https://www.drupal.org/sa-core-2026-004

Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18 (Englisch)
https://www.drupal.org/psa-2026-05-18

Vorankündigung: Kritische Sicherheitslücke in Drupal Core - Patch-Verfügbarkeit am 20. Mai 2026 (Deutsch)
https://www.cert.at/de/aktuelles/2026/5/drupal-critical-preannounce