#Hosting · 3 Min. Lesezeit · Tim Rinkel

DRUPAL-ALARM! Hacker zerlegen JETZT 6.000 Seiten — CISA peitscht die SQL-Lücke auf die KEV-Liste

DRUPAL-ALARM! Hacker zerlegen JETZT 6.000 Seiten — CISA peitscht die SQL-Lücke auf die KEV-Liste

SCHOCK: Die Drupal-SQL-Injection CVE-2026-9082 ist nicht länger Theorie. Drupal hat die Advisory am 22. Mai aktualisiert: „Exploit-Versuche werden jetzt in freier Wildbahn beobachtet.“ Sicherheitsfirma Imperva (Thales) zählt über 15.000 Angriffe gegen rund 6.000 Sites in 65 Ländern. Fast die Hälfte der Treffer entfällt auf Gaming- und Finanzdienst-Seiten.

UNGLAUBLICH: Die Lücke sitzt in PostgreSQL-Queries

Der Bug lebt im EntityQuery-Condition-Handler der Drupal-Datenbank-Abstraktion. Beim Bauen einer PostgreSQL-Query interpoliert Drupal Bedingungen falsch — und ein unauthentifizierter Angreifer aus dem Netz kann mit einer präparierten URL beliebige SQL-Statements unterjubeln. Ergebnis: Daten lesen, ändern, löschen — und in mancher Konfiguration Rechte eskalieren oder gar Code ausführen.

GEFAHR! Wer betroffen ist

Die Lücke trifft ausschließlich Drupal-Installationen mit PostgreSQL als Backend. Sites auf MySQL, MariaDB oder SQLite sind sicher. Wer aber zur PostgreSQL-Fraktion gehört (gerade in EU-Behörden und Hochschulen üblich), muss SOFORT reagieren.

So schliesst du die Lücke in 5 MINUTEN

  1. In dein Drupal-Backend einloggen, Version checken.
  2. SA-CORE-2026-004 einspielen — Drupal stellt Patches für 10.x, 11.x und 12.x bereit.
  3. PostgreSQL-Logs prüfen: Suche nach untypischen UNION-, CASE- oder SLEEP-Anweisungen in den letzten Wochen.
  4. Admin-Passwörter rotieren, falls auch nur der Verdacht eines Erfolgs besteht.

FAZIT: Die KEV-Aufnahme ist ein klares Signal

CISA hat CVE-2026-9082 am 22. Mai 2026 in die Known-Exploited-Vulnerabilities-Liste eingetragen. Für US-Bundesbehörden gilt eine Patch-Pflicht bis 27. Mai 2026. Wenn die US-Cybersicherheitsbehörde diesen Hebel anlegt, dann ist die Bedrohung real — und private Betreiber sollten genauso schnell handeln.

Häufige Fragen

Welche Versionen sind betroffen?
Alle aktiv unterstützten Drupal-Core-Linien (10.x, 11.x, 12.x), sofern sie auf PostgreSQL laufen. SQLite-, MySQL- und MariaDB-Sites sind aktuell nicht angreifbar.
Wie merke ich, ob meine Site verwundbar ist?
Schau in settings.php nach dem driver-Eintrag. Steht dort pgsql, bist du im Risiko. In deinem PostgreSQL-Log tauchen bei einem aktiven Angriff oft auffällige CASE WHEN-Konstrukte mit SLEEP(5) oder UNION-Selects gegen pg_user auf.
Gibt es schon aktive Angriffe?
Ja. Imperva meldet über 15.000 Angriffsversuche gegen rund 6.000 Sites in 65 Ländern. Schwerpunkt: Gaming-Plattformen und Finanzdienstleister. CISA hat den Bug am 22. Mai 2026 in die KEV-Liste aufgenommen.
Wie behebe ich das Problem konkret?
Drupal-Core auf die in SA-CORE-2026-004 genannte Patch-Version updaten. Falls Auto-Updates aus sind: in den Maintenance-Mode schalten, composer update drupal/core-recommended, drush updatedb, Cache leeren. Danach Sessions invalidieren und Admin-Passwörter neu setzen.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert