Zum Hauptinhalt springen
S-EDV news
← Alle News
Sicherheit & Datenschutz 29.05.2026 · 2 min Lesezeit

Drupal-Lücke CVE-2026-9082: Angreifer attackieren PostgreSQL-Setups

Eine als kritisch eingestufte SQL-Injection-Lücke im Drupal-Core wird aktiv ausgenutzt. Betroffen sind ausschließlich Installationen, die PostgreSQL als Datenbank verwenden.

Netzwerk-Storage im Regal – Symbolbild für Synology-NAS

Drupal-Betreiber mit PostgreSQL als Datenbank-Backend sollten ihre Installation umgehend aktualisieren. Die Sicherheitslücke CVE-2026-9082 ist nach Einschaetzung des Drupal-Security-Teams kritisch und wird laut heise online bereits aktiv ausgenutzt. Über praeparierte Anfragen können Angreifer eine SQL-Injection auslösen und die Inhalte der Datenbank lesen oder manipulieren. MySQL- und MariaDB-Installationen sind nach aktuellem Stand nicht verwundbar.

Die Lücke betrifft sowohl den aktuellen Hauptzweig als auch die länger gepflegten LTS-Versionen. Drupal stellt dafür abgesicherte Releases bereit, die Betreiber zeitnah einspielen sollten. Da das Problem in einer zentralen Abfrage-Komponente liegt, lassen sich verwundbare Aufrufe nicht einfach per WAF-Regel abfangen. Damit bleibt der Patch der einzige verlaesslich wirksame Schutz.

Brisant ist die Kombination aus geringem Angriffs-Aufwand und der üblichen Drupal-Zielgruppe: Behörden, Hochschulen und mittelstaendische Webportale, die oft PostgreSQL einsetzen. Auf vielen dieser Systeme liegen personenbezogene Daten, sodass ein erfolgreicher Angriff schnell zu einer meldepflichtigen Datenschutzverletzung nach DSGVO Art. 33 wird.

Auffaellig ist, wie schnell Angreifer derzeit öffentlich gewordene CMS-Luecken in produktive Scanner übernehmen. Die in der heise-Meldung beschriebenen Aktivitaeten richten sich nicht gezielt gegen einzelne Behörden oder Unternehmen, sondern arbeiten mit breit gestreuten Suchwellen, die über Suchmaschinen-Footprints oder Shodan-ähnliche Inventare priorisiert werden. Wer eine erreichbare Drupal-Site mit PostgreSQL betreibt, sollte daher nicht auf den schmalen Schutz durch Obskuritaet vertrauen. Auch nicht öffentlich verlinkte Subdomains sind in diesem Modell laengst Teil der Treffermenge.

Was Admins jetzt tun sollten

  1. Drupal-Version prüfen und auf die gepatchten Releases aktualisieren
  2. Bei PostgreSQL-Setups die Datenbank-Logs der letzten Wochen auf auffaellige Statements durchsehen
  3. Admin-Accounts und API-Tokens neu erzeugen, falls Kompromittierung nicht ausgeschlossen werden kann
  4. Externe Erreichbarkeit nicht zwingend benoetigter Admin-Pfade per Reverse-Proxy oder IP-Whitelist einschraenken
  5. Backups verifizieren, bevor Restore- oder Forensik-Maßnahmen anlaufen

Für den DACH-Mittelstand ist die Lücke vor allem dort relevant, wo Drupal als Redaktionssystem für mehrere Mandanten oder Vereins- und Kammer-Portale dient. Wer Hosting an Dienstleister ausgelagert hat, sollte sich aktiv eine Patch-Bestätigung einholen statt darauf zu vertrauen, dass Updates automatisch eingespielt werden. Die Angriffe sind kein theoretisches Szenario, die Beobachtungen reichen bereits in den Mai 2026 hinein.

Mehr aus der Kategorie Sicherheit: News aus der Kategorie Sicherheit

Quellen: heise online zu CVE-2026-9082, heise online Sicherheitsluecken. Abgerufen am 29.05.2026.