Kritisches Sicherheitsupdate für Drupal Core: Was Site-Betreibende jetzt tun sollten
Das Drupal Security Team hat am 20. Mai 2026 das Security Advisory SA-CORE-2026-004 veröffentlicht. Die Sicherheitslücke wird als „Highly Critical“ eingestuft und betrifft Drupal Core. Betreiber*innen von Drupal-Websites sollten die bereitgestellten Updates zeitnah einspielen.
Offizielle Ankündigung aus dem Security Team
Wie schon in der Vergangenheit hat das Drupal Security in einem Advisory auf Drupal.org über die Sicherheitslücke informiert.
Die Schwachstelle wird unter der Kennung CVE-2026-9082 geführt und betrifft eine SQL-Injection-Lücke innerhalb der Database Abstraction API von Drupal Core. Laut Security Advisory kann die Schwachstelle durch nicht authentifizierte Angreifer ausgenutzt werden.
Was ist das Problem?
Drupal verwendet eine Database Abstraction API, um Datenbankabfragen sicher zu verarbeiten und SQL-Injection-Angriffe zu verhindern.
Im Rahmen von SA-CORE-2026-004 wurde jedoch eine Schwachstelle identifiziert, durch die speziell präparierte Requests zu einer SQL-Injection führen können. Betroffen sind insbesondere Installationen, die PostgreSQL als Datenbank einsetzen.
Je nach Konfiguration kann ein erfolgreicher Angriff unter anderem folgende Auswirkungen haben:
- Zugriff auf sensible Daten
- Manipulation oder Löschung von Inhalten
- Rechteausweitung
- im Einzelfall Remote Code Execution (RCE)
Besonders kritisch ist dabei, dass die Schwachstelle anonym — also ohne gültigen Login — ausgenutzt werden kann.
Warum das Update auch ohne PostgreSQL wichtig ist
Die eigentliche SQL-Injection betrifft laut Drupal Security Team ausschließlich PostgreSQL-basierte Installationen. Dennoch empfiehlt das Security Team ausdrücklich allen Betreiber*innen ein zeitnahes Update.
Der Grund:
Die veröffentlichten Core-Releases enthalten zusätzlich Sicherheitsupdates für zentrale Abhängigkeiten wie Symfony und Twig. Abhängig von eingesetzten Modulen und Konfigurationen können dadurch auch andere Drupal-Installationen betroffen sein.
Hinzu kommt, dass bereits kurz nach Veröffentlichung des Advisories erste Scan- und Angriffsaktivitäten beobachtet wurden.
Welche Drupal-Versionen sollten aktualisiert werden?
Das Drupal Security Team empfiehlt folgende Zielversionen:
| Eingesetzte Version | Empfohlenes Update |
|---|---|
| Drupal 11.3.x | 11.3.10 |
| Drupal 11.2.x | 11.2.12 |
| Drupal 11.1.x / 11.0.x | 11.1.10 |
| Drupal 10.6.x | 10.6.9 |
| Drupal 10.5.x | 10.5.10 |
| Drupal 10.4.x und älter | 10.4.10 |
Für Drupal 9.5 und 8.9 wurden zusätzlich Best-Effort-Patches veröffentlicht. Diese Versionen befinden sich jedoch bereits außerhalb des offiziellen Security Supports.
Hinweise für Agenturen und größere Plattformen
Für Agenturen und Enterprise-Projekte empfiehlt es sich, produktive Systeme mit PostgreSQL-Persistenz priorisiert zu behandeln.
Zusätzlich sinnvoll können sein:
- kurzfristige Aktivierung zusätzlicher WAF-Regeln
- verstärktes Monitoring ungewöhnlicher Requests
- Review von Rollen mit Twig-Template-Rechten
- Prüfung eingesetzter Contrib-Module
Fazit
SA-CORE-2026-004 gehört zu den derzeit relevantesten Drupal-Sicherheitsmeldungen des Jahres. Auch wenn die eigentliche SQL-Injection nur PostgreSQL-basierte Installationen direkt betrifft, sollten alle Betreiber*innen die bereitgestellten Updates zeitnah einspielen.
Die Kombination aus hochkritischer Einstufung, möglicher anonymer Ausnutzung und bereits beobachteten Scan-Aktivitäten macht eine schnelle Reaktion empfehlenswert.
Weiterführende Informationen zu den aktuellsten Security Advisories auf www.Drupal.org