VDB

CVE-2026-9082

CVE-2026-9082 PUBLISHED KEV

20. Mai 2026 In Drupal Core existiert eine SQL-Injection-Schwachstelle in der Datenbank-Abstraktions-API. Speziell gestaltete Anfragen können zu beliebigen SQL-Injections führen. Die Schwachstelle ist ausschließlich für Drupal-Installationen relevant, die PostgreSQL als Datenbank einsetzen, und kann ohne Authentifizierung durch anonyme Benutzer:innen ausgenutzt werden. Zusätzlich zur SQL-Injection enthalten die Drupal-Releases für die unterstützten Versionszweige (11.3, 11.2, 10.6 und 10.5) auch Sicherheitsaktualisierungen für die Abhängigkeiten Symfony und Twig. Diese Abhängigkeits-Updates betreffen unabhängig von der eingesetzten Datenbank alle Drupal-Installationen. CVE-Nummer(n): CVE-2026-9082 CVSS Base Score: N/A

EPSS 7.67% · 92.1th percentile

Risk Scores

EPSS Score
7.67%
92.1th percentile

Affected Products

VendorProductVersions
DrupalDrupal 10.5.x: Versionen vor 10.5.10
DrupalDrupal 10.4.x und frühere 10er-Versionen: vor 10.4.10 (End-of-Life)
DrupalDrupal 11.3.x: Versionen vor 11.3.10
DrupalDrupal 8.9.x: alle Versionen (End-of-Life)
DrupalDrupal 11.1.x und 11.0.x: Versionen vor 11.1.10 (End-of-Life)
DrupalDrupal 11.2.x: Versionen vor 11.2.12
DrupalDrupal 9.x: alle Versionen (End-of-Life)
DrupalDrupal 10.6.x: Versionen vor 10.6.9

Exploit Intelligence

…and 275 more exploits

Timeline

  • Aug 12, 2021 CrowdSec Sighting
  • Dec 11, 2022 CrowdSec Sighting
  • Apr 5, 2023 CrowdSec Sighting
  • Nov 1, 2023 CrowdSec Sighting
  • Feb 27, 2025 CrowdSec Sighting
  • Feb 27, 2025 CrowdSec Sighting
  • Feb 27, 2025 CrowdSec Sighting
  • Feb 27, 2025 CrowdSec Sighting
  • Mar 11, 2025 CrowdSec Sighting
  • Jul 26, 2025 CrowdSec Sighting
  • Sep 29, 2025 CrowdSec Sighting
  • Jan 7, 2026 CrowdSec Sighting

References

Open in Interactive Console →
$ Console Community · 100/wk Open console ›