Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad de seguridad «altamente crítica» en Drupal Core que podría ser aprovechada por atacantes para lograr la ejecución remota de código, escalada de privilegios o divulgación de información.
La vulnerabilidad, ahora rastreada como CVE-2026-9082tiene una puntuación CVSS de 6,5 sobre 10,0, según CVE.org. Drupal dijo que la vulnerabilidad reside en una API de abstracción de base de datos que se utiliza en Drupal Core para validar consultas y garantizar que estén desinfectadas contra ataques de inyección SQL.
«Una vulnerabilidad en esta API permite a un atacante enviar solicitudes especialmente diseñadas, lo que resulta en una inyección SQL arbitraria para sitios que utilizan bases de datos PostgreSQL», dijo. dicho. «Esto puede conducir a la divulgación de información y, en algunos casos, a una escalada de privilegios, a la ejecución remota de código u otros ataques».
Drupal señaló que la falla de seguridad puede ser explotada por usuarios anónimos y afecta solo a los sitios que usan PostgreSQL. Las siguientes versiones abordan el problema:
- Drupal 11.3.10
- Drupal 11.2.12
- Drupal 11.1.10
- Drupal 10.6.9
- Drupal 10.5.10
- Drupal 10.4.10
Drupal 7 no se ve afectado. Las versiones para las ramas compatibles (versiones 11.3, 11.2, 10.6 y 10.5) incluyen actualizaciones de seguridad ascendentes para Symfony y Twig, por lo que es esencial que estén instaladas las últimas versiones.
Como lo reveló anteriormente Drupal, también se lanzaron parches manuales para las versiones 9 y 8 de Drupal, que han llegado al final de su vida útil.
«Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x y versiones anteriores están al final de su vida útil y no reciben cobertura de seguridad», dijo Drupal. «Tanto Drupal 8 como Drupal 9 han llegado al final de su vida útil.
«Debido a la gravedad de este problema, las versiones no compatibles y los parches para las versiones no compatibles se proporcionan como un mejor esfuerzo. Esas versiones no compatibles aún tendrán otras vulnerabilidades de seguridad previamente reveladas».
