2026-2136: Drupal: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2026-05-21 10:38)

Neues Advisory

Version 2 (2026-05-26 10:31)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2026-9082 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Laut Hersteller betrifft die Schwachstelle nur Systeme, in denen PostgreSQL als Datenbank-Backend verwendet wird.

Für die aktiven Versionszweige von Drupal stehen die Drupal Versionen 10.5.10, 10.6.9, 11.2.12 und 11.3.10 als Sicherheitsupdates zur Verfügung, um die Schwachstelle zu beheben. Da diese Versionen weitere Sicherheitsupdates für Symfony und Twig enthalten, empfiehlt der Hersteller ein Update auf die neuen Versionen auch dann, wenn die Installation von der beschriebenen Schwachstelle nicht betroffen ist, da PostgreSQL nicht verwendet wird.

Für die Versionszweige 10.4 und 11.1 stehen die Drupal Versionen 10.4.10 und 11.1.10 als Sicherheitsupdates zur Verfügung, um die Schwachstelle zu beheben.

Für die Versionszweige 8.9 und 9 von Drupal stehen Patches zur Verfügung, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2026-9082

Schwachstelle in Drupal ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.