Vulnerabilidad crítica en Drupal expone sitios PostgreSQL a ataques RCE
Publicado el
Vulnerabilidad grave en Drupal Core
Drupal ha alertado sobre una vulnerabilidad altamente crítica en su núcleo, identificada como CVE-2026-9082, que podría ser explotada por atacantes para lograr ejecución remota de código (RCE), escalada de privilegios o divulgación de información. Esta falla tiene un CVSS de 6.5 sobre 10 y afecta únicamente a los sitios que utilizan bases de datos PostgreSQL.
La vulnerabilidad se encuentra en una API de abstracción de bases de datos que se emplea en Drupal Core para validar consultas y garantizar que estén protegidas contra ataques de inyección SQL. Según Drupal, "una vulnerabilidad en esta API permite a un atacante enviar solicitudes especialmente diseñadas, lo que resulta en inyecciones SQL arbitrarias en sitios que utilizan bases de datos PostgreSQL". Esto puede conducir a la divulgación de información y, en algunos casos, a la escalada de privilegios o a la ejecución remota de código.
Además, se ha señalado que la falla puede ser explotada por usuarios anónimos, lo que incrementa el riesgo para los administradores de sitios que no hayan actualizado sus sistemas. Las versiones afectadas y que resuelven este problema son: - Drupal 11.3.10 - Drupal 11.2.12 - Drupal 11.1.10 - Drupal 10.6.9 - Drupal 10.5.10 - Drupal 10.4.10
Es importante destacar que Drupal 7 no está afectado por esta vulnerabilidad. Las actualizaciones para las ramas soportadas incluyen parches de seguridad para Symfony y Twig, por lo que se recomienda encarecidamente que los administradores instalen las versiones más recientes.
Para las versiones que han llegado a su fin de vida, como Drupal 9 y Drupal 8, también se han lanzado parches manuales. Sin embargo, se advierte que estas versiones ya no reciben cobertura de seguridad: - Drupal 9.5 - Drupal 8.9
Drupal ha declarado que "Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x y versiones anteriores han llegado al final de su vida útil y no reciben cobertura de seguridad". Debido a la gravedad de esta cuestión, se proporcionan parches para las versiones no soportadas como un esfuerzo adicional, aunque se recuerda que estas versiones podrían seguir teniendo otras vulnerabilidades de seguridad ya divulgadas.
Los administradores de sitios que utilicen Drupal deben actuar con rapidez para mitigar los riesgos asociados a esta vulnerabilidad, asegurando que sus sistemas estén actualizados y protegidos contra posibles ataques.