Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 29.05.2026 · 2 min Lesezeit

Drupal-Lücke CVE-2026-9082: Angreifer attackieren PostgreSQL-Setups

Eine als kritisch eingestufte SQL-Injection-Lücke im Drupal-Core wird aktiv ausgenutzt. Betroffen sind ausschliesslich Installationen, die PostgreSQL als Datenbank verwenden.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Netzwerk-Storage im Regal – Symbolbild für Synology-NAS

Drupal-Betreiber mit PostgreSQL als Datenbank-Backend sollten ihre Installation umgehend aktualisieren. Die Sicherheitslücke CVE-2026-9082 ist nach Einschaetzung des Drupal-Security-Teams kritisch und wird laut heise online bereits aktiv ausgenutzt. Ueber praeparierte Anfragen koennen Angreifer eine SQL-Injection ausloesen und die Inhalte der Datenbank lesen oder manipulieren. MySQL- und MariaDB-Installationen sind nach aktuellem Stand nicht verwundbar.

Die Luecke betrifft sowohl den aktuellen Hauptzweig als auch die laenger gepflegten LTS-Versionen. Drupal stellt dafuer abgesicherte Releases bereit, die Betreiber zeitnah einspielen sollten. Da das Problem in einer zentralen Abfrage-Komponente liegt, lassen sich verwundbare Aufrufe nicht einfach per WAF-Regel abfangen. Damit bleibt der Patch der einzige verlaesslich wirksame Schutz.

Brisant ist die Kombination aus geringem Angriffs-Aufwand und der ueblichen Drupal-Zielgruppe: Behoerden, Hochschulen und mittelstaendische Webportale, die oft PostgreSQL einsetzen. Auf vielen dieser Systeme liegen personenbezogene Daten, sodass ein erfolgreicher Angriff schnell zu einer meldepflichtigen Datenschutzverletzung nach DSGVO Art. 33 wird.

Auffaellig ist, wie schnell Angreifer derzeit oeffentlich gewordene CMS-Luecken in produktive Scanner uebernehmen. Die in der heise-Meldung beschriebenen Aktivitaeten richten sich nicht gezielt gegen einzelne Behoerden oder Unternehmen, sondern arbeiten mit breit gestreuten Suchwellen, die ueber Suchmaschinen-Footprints oder Shodan-aehnliche Inventare priorisiert werden. Wer eine erreichbare Drupal-Site mit PostgreSQL betreibt, sollte daher nicht auf den schmalen Schutz durch Obskuritaet vertrauen. Auch nicht oeffentlich verlinkte Subdomains sind in diesem Modell laengst Teil der Treffermenge.

Was Admins jetzt tun sollten

  1. Drupal-Version pruefen und auf die gepatchten Releases aktualisieren
  2. Bei PostgreSQL-Setups die Datenbank-Logs der letzten Wochen auf auffaellige Statements durchsehen
  3. Admin-Accounts und API-Tokens neu erzeugen, falls Kompromittierung nicht ausgeschlossen werden kann
  4. Externe Erreichbarkeit nicht zwingend benoetigter Admin-Pfade per Reverse-Proxy oder IP-Whitelist einschraenken
  5. Backups verifizieren, bevor Restore- oder Forensik-Massnahmen anlaufen

Fuer den DACH-Mittelstand ist die Luecke vor allem dort relevant, wo Drupal als Redaktionssystem fuer mehrere Mandanten oder Vereins- und Kammer-Portale dient. Wer Hosting an Dienstleister ausgelagert hat, sollte sich aktiv eine Patch-Bestaetigung einholen statt darauf zu vertrauen, dass Updates automatisch eingespielt werden. Die Angriffe sind kein theoretisches Szenario, die Beobachtungen reichen bereits in den Mai 2026 hinein.

Mehr aus der Kategorie Sicherheit: News aus der Kategorie Sicherheit

Quellen: heise online zu CVE-2026-9082, heise online Sicherheitsluecken. Abgerufen am 29.05.2026.

Verwandt

Weiter lesen

Alle Artikel →
Bürorechner mit Sicherheits-Icon – Symbolbild für SAP-Patchday
28.05.2026 ·2 min

SAP-Patchday Mai 2026: Zwei kritische Lücken erlauben unauthentifizierten Login

SAP schließt im Mai-Patchday 15 Schwachstellen, zwei davon kritisch. Eine erlaubt unauthentifizierten Login, eine zweite SQL-Injection.
Festplatte sicher löschen
26.05.2026 ·3 min

Festplatte sicher Löschen