BEDROHUNG
Eine als „höchst kritisch“ eingestufte SQL-Injection-Lücke in der Datenbank-Abstraktions-API der Content-Management-Software Drupal wird aktiv ausgenutzt. Das Drupal-Projekt hatte zunächst vor einer bevorstehenden Sicherheitsveröffentlichung gewarnt und nach Auslieferung der Updates laufende Angriffe bestätigt.
Die Lücke ermöglicht Angreifern mithilfe speziell gestalteter Anfragen die Ausführung beliebiger SQL-Injection-Angriffe auf Drupal-Websites, sofern diese PostgreSQL als Datenbank verwenden. Eine Authentifizierung ist nicht erforderlich. Erfolgreiche Angriffe können zur Offenlegung von Informationen, Privilege Escalation und in bestimmten Fällen auch zu Remote Code Execution führen.
Nach Informationen des Cybersecurity-Unternehmens Imperva wurden seit der Veröffentlichung der als CVE-2026-9082 geführten Lücke über 15.000 Angriffsversuche auf knapp 6.000 Instanzen in 65 Ländern beobachtet. Die CISA nahm CVE-2026-9082 in ihren KEV-Katalog auf und setzte für US-Bundesbehörden eine Patch-Frist bis zum 27. Mai.
Was jetzt zu tun ist:
- umgehend patchen
- Logs auf verdächtige SQLi-, JSON-API- und Log-in-Anfragen prüfen
PRÄVENTION & DETEKTION
Mit einer EDR‑Lösung erkennen Sie SQL‑Injection-Angriffe frühzeitig.
Threat Hunting ist die gezielte, proaktive Suche nach versteckten Angreifern in Ihrer IT‑Umgebung – unabhängig von bestehenden Alarmen.
Statt auf einzelne Meldungen zu reagieren, identifizieren wir reale Angriffsaktivitäten, bevor diese Schaden verursachen.
Autor: Michael Niers
