Drupal heeft een zeer kritieke kwetsbaarheid opgelost die kwaadwillenden in staat kan stellen websites te hacken die draaien op het open source contentmanagementsysteem (CMS). De ontwikkelaars waarschuwden gebruikers vooraf dat er binnen enkele uren of dagen na openbaarmaking een exploit beschikbaar zou kunnen zijn. De kwetsbaarheid, geregistreerd als CVE-2026-9082 en beoordeeld als 'zeer kritisch' met een NIST CMSS-score van 20 uit 25, betreft een API die bedoeld is om databasequery's te sanitiseren en zo SQL-injectie te voorkomen.

Volgens Drupal maakt deze kwetsbaarheid het mogelijk om speciaal opgemaakte verzoeken te versturen, wat resulteert in willekeurige SQL-injectie bij sites die gebruikmaken van PostgreSQL-databases. De fout kan zonder authenticatie worden misbruikt om informatie te verkrijgen en in sommige gevallen voor privilege-escalatie en remote code execution. Hoewel Drupal honderden duizenden websites aandrijft, geldt deze kwetsbaarheid alleen voor sites met PostgreSQL.

Er zijn patches beschikbaar voor Drupal-versies 11.3, 11.2, 10.6 en 10.5.x. De nieuwste updates verhelpen ook 'belangrijke' kwetsbaarheden in Symfony en Twig die Drupal beïnvloeden. Drupal adviseert om deze afhankelijkheden altijd bij te werken, ongeacht of de SQL-injectie kwetsbaarheid van toepassing is, omdat de configuratie en gebruikte modules kunnen bepalen of men kwetsbaar is voor een of meer van deze onderliggende problemen.

Hoewel Drupal regelmatig kwetsbaarheden verhelpt, zijn er zelden ernstige problemen en is het jaren geleden dat er een 'zeer kritieke' fout werd gevonden. Sinds 2019 zijn er geen meldingen van actieve exploitatie van nieuwe Drupal-kwetsbaarheden. In de jaren daarvoor werden meerdere kwetsbaarheden, zoals Drupalgeddon en Drupalgeddon2, misbruikt om veel websites te hacken.