La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad crítica recientemente reparada que afecta a Drupal Core a su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2026-9082 (puntuación CVSS: 6,5), una vulnerabilidad de inyección SQL que afecta a todas las versiones compatibles de Drupal Core.
«Existe una vulnerabilidad de inyección SQL en Drupal Core que podría permitir una escalada de privilegios o la ejecución remota de código a través de una solicitud especialmente diseñada enviada en la API de abstracción de la base de datos», dijo CISA.
La noticia del exploit llega menos de dos días después de que Drupal publicara una solución para el defecto. Actualmente se desconoce cómo se aprovecha esta vulnerabilidad y cuál es el objetivo final del ataque.
Hay parches disponibles para las siguientes versiones:
Drupal 11.3.10 Drupal 11.2.12 Drupal 11.1.10 Drupal 10.6.9 Drupal 10.5.10 Drupal 10.4.10 Drupal 9.5 (se requiere parche manual) Drupal 8.9 (se requiere parche manual)
En una actualización de aviso del 22 de mayo de 2026, Drupal reconoció que «actualmente se están detectando intentos de explotación en la naturaleza». Imperva, propiedad de Thales, dijo que observó más de 15.000 intentos de ataque dirigidos a casi 6.000 sitios individuales en 65 países.
«Hasta ahora, los ataques se han dirigido principalmente a sitios de juegos y servicios financieros, que en conjunto representan casi el 50% de todos los ataques», dijo la compañía. «La mayor parte de la actividad observada hasta ahora parece ser actividad de exploración».
«Este patrón sugiere que los atacantes y los escáneres buscan principalmente identificar sitios Drupal expuestos que ejecuten configuraciones que aprovechen el vulnerable PostgreSQL. Actualmente, gran parte de la actividad es reconocimiento y verificación, pero debido a la naturaleza de la vulnerabilidad, una explotación exitosa podría pasar rápidamente de la exploración a la extracción de datos y la escalada de privilegios».
Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen la solución antes del 27 de mayo de 2026 para una protección óptima.
Source link
