La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad crítica recientemente reparada que afecta a Drupal Core a sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2026-9082 (Puntuación CVSS: 6,5), una vulnerabilidad de inyección SQL que afecta a todas las versiones compatibles de Drupal Core.
«Drupal Core contiene una vulnerabilidad de inyección SQL que podría permitir la escalada de privilegios y la ejecución remota de código a través de solicitudes especialmente diseñadas enviadas con la API de abstracción de la base de datos», dijo CISA.
La noticia de la explotación llega menos de dos días después de que Drupal publicara correcciones para la falla. Actualmente no se sabe cómo se explota la vulnerabilidad y cuáles son los objetivos finales de esos ataques.
Hay parches disponibles para las siguientes versiones:
- Drupal 11.3.10
- Drupal 11.2.12
- Drupal 11.1.10
- Drupal 10.6.9
- Drupal 10.5.10
- Drupal 10.4.10
- Drupal 9.5 (se requiere parcheo manual)
- Drupal 8.9 (se requiere parcheo manual)
En una actualización de su aviso del 22 de mayo de 2026, Drupal admitido que «ahora se están detectando intentos de explotación en la naturaleza». Imperva, propiedad de Thales, dijo que ha observado más de 15.000 intentos de ataque dirigidos a casi 6.000 sitios individuales en 65 países.
«Hasta ahora, los ataques se dirigen principalmente a sitios de juegos y servicios financieros, en conjunto casi el 50% de todos los ataques», dijo la compañía. dicho. «La mayor parte de la actividad observada hasta ahora parece ser de sondeo».
«Este patrón sugiere que los atacantes y los escáneres intentan principalmente identificar sitios Drupal expuestos que ejecutan configuraciones vulnerables respaldadas por PostgreSQL. Si bien la actividad actualmente está dominada por el reconocimiento y la validación, la naturaleza de la vulnerabilidad significa que una explotación exitosa podría pasar rápidamente de la investigación a la extracción de datos o la escalada de privilegios».
Se recomendó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 27 de mayo de 2026 para una protección óptima.
