Drupal ha lanzado una actualización de seguridad para una vulnerabilidad de seguridad «muy crítica» en Drupal Core. Un atacante podría aprovechar esta vulnerabilidad para lograr la ejecución remota de código, la escalada de privilegios o la divulgación de información.
Actualmente, esta vulnerabilidad se rastrea como CVE-2026-9082 y tiene una puntuación CVSS de 6,5 sobre 10,0, según CVE.org. Según Drupal, la vulnerabilidad existe en la API de abstracción de la base de datos utilizada por Drupal Core para validar las consultas y garantizar que estén desinfectadas contra ataques de inyección SQL.
«Una vulnerabilidad en esta API podría permitir a un atacante enviar una solicitud especialmente diseñada, lo que daría como resultado una inyección SQL arbitraria en sitios que utilizan bases de datos PostgreSQL». «Esto puede conducir a la divulgación de información y, en algunos casos, a la escalada de privilegios, la ejecución remota de código y otros ataques».
Drupal señaló que esta falla de seguridad podría ser aprovechada por usuarios anónimos y que solo los sitios que usan PostgreSQL se ven afectados. La próxima versión aborda este problema.
Drupal 11.3.10 Drupal 11.2.12 Drupal 11.1.10 Drupal 10.6.9 Drupal 10.5.10 Drupal 10.4.10
Drupal 7 no se ve afectado. Las versiones en las ramas compatibles (versiones 11.3, 11.2, 10.6 y 10.5) incluyen actualizaciones de seguridad ascendentes para Symfony y Twig, por lo que es esencial instalar la última versión.
Como reveló anteriormente Drupal, también se lanzó un parche manual para las versiones 9 y 8 de Drupal, que ya no son compatibles.
«Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x y versiones anteriores ya no son compatibles y no están cubiertos por seguridad», dice Drupal. “Tanto Drupal 8 como Drupal 9 han llegado al final del soporte.
«Debido a la gravedad de este problema, se están proporcionando parches para versiones no compatibles y como mejor esfuerzo. Aún existen otras vulnerabilidades de seguridad reveladas anteriormente en estas versiones no compatibles».
Source link
