Seguir 
O Drupal lançou atualizações de segurança para uma vulnerabilidade de segurança “altamente crítica” no núcleo do Drupal que pode ser explorada por atacantes anônimos contra sites que utilizam bancos de dados PostgreSQL. Rastreada como a vulnerabilidade CVE-2026-9082, o problema reside na API de abstração de banco de dados do Drupal, que deve sanitizar consultas antes que elas cheguem ao banco de dados do backend. O Drupal classifica a falha como 20/25 em sua própria escala de gravidade, enquanto o The Hacker News observa que o CVE.org a lista como 6,5/10.
Para os defensores que iniciam a análise do CVE-2026-9082, o principal risco é que solicitações especialmente elaboradas podem levar a injeções SQL arbitrárias em sites com suporte PostgreSQL, o que pode, por sua vez, causar divulgação de informações e, em alguns casos, escalonamento de privilégios ou execução remota de código. O Drupal também afirma que a falha pode ser explorada por usuários anônimos, tornando os sites expostos voltados ao público a maior prioridade para remediação.
Os detalhes atuais do CVE-2026-9082 também são importantes porque o escopo é mais restrito do que a manchete genérica “todos os sites Drupal” sugere. O aviso do Drupal diz que o problema da injeção SQL afeta apenas sites que usam PostgreSQL, mas as mesmas versões de segurança também incluem correções importantes para Symfony e Twig, razão pela qual mesmo as implementações que não usam PostgreSQL ainda são aconselhadas a atualizar.
Análise do CVE-2026-9082
No nível técnico, o CVE-2026-9082 é uma falha na API de abstração de banco de dados que normalmente valida e sanitiza consultas para prevenir injeções SQL. O Drupal diz que um atacante pode enviar requisições especialmente elaboradas que contornam as proteções esperadas e entregam SQL arbitrário ao backend do PostgreSQL. Em termos práticos, a carga útil do CVE-2026-9082 é uma requisição maliciosa projetada para abusar do tratamento de consultas em vez de instalar um binário ou script no disco.
Essa falha de design é a razão pela qual o CVE-2026-9082 afeta primeiro a confidencialidade e integridade, mas também pode escalar ainda mais dependendo da configuração do site. O relatório citado diz que a exploração bem-sucedida pode expor dados sensíveis, elevar privilégios e, em alguns ambientes, até mesmo possibilitar a execução remota de código. A Cyber Press acrescenta que o ataque não requer autenticação, o que aumenta o risco para sites voltados à internet que executam versões vulneráveis do Drupal Core com PostgreSQL.
Do ponto de vista operacional, a detecção do CVE-2026-9082 é mais provável de depender de versões e inventário de banco de dados do que de um conjunto de assinaturas estáveis. O aviso público e os dois relatórios não publicam um PoC público do CVE-2026-9082 ou IoCs concretos do CVE-2026-9082, então os defensores devem se concentrar em identificar ramos vulneráveis do Drupal, confirmar se o PostgreSQL está em uso e revisar atividades de requisições suspeitas em endpoints dirigidos a bancos de dados.
Mitigação do CVE-2026-9082
A mitigação principal do CVE-2026-9082 é instalar a versão mais recente do Drupal para o ramo afetado. O aviso do Drupal lista as versões corrigidas como 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10. Para ramos não suportados, mas ainda amplamente implantados, o Drupal também publicou patches manuais de melhor esforço para o Drupal 9.5 e 8.9, ao mesmo tempo em que alerta que aquelas versões de final de vida podem ainda conter outros problemas de segurança previamente divulgados.
Para detectar a exposição ao CVE-2026-9082 na prática, as organizações devem primeiro fazer um inventário de todas as instalações do Drupal, mapear cada site para sua versão exata e verificar se o banco de dados backend é o PostgreSQL. Essa etapa é crítica porque o caminho de injeção SQL é específico do PostgreSQL, mas as atualizações de framework incluídas ainda fazem com que a aplicação de patches seja importante para todos os ramos suportados.
Onde a aplicação imediata de patches for adiada, as equipes devem priorizar sites voltados ao público que aceitam tráfego anônimo e revisar funcionalidades intensivas de banco de dados em busca de padrões de requisição anormais. Como os materiais citados não incluem telemetria de exploração ou regras de detecção pública, a estratégia de curto prazo mais confiável é a aplicação agressiva de patches, validação de ramo e revisão de quaisquer funções ou módulos contribuídos que permitam a atualização de templates Twig.
FAQ
O que é o CVE-2026-9082 e como ele funciona?
O CVE-2026-9082 é uma falha de injeção SQL no núcleo do Drupal na API de abstração de banco de dados. Funciona permitindo que requisições especialmente elaboradas contornem a lógica de sanitização de consultas esperada e executem SQL arbitrário contra sites Drupal com suporte PostgreSQL.
Quando o CVE-2026-9082 foi descoberto pela primeira vez?
As fontes públicas não divulgam uma data de descoberta privada, mas o Drupal publicou o SA-CORE-2026-004 em 20 de maio de 2026 e credita Michael Maturi por relatar o problema.
Qual é o impacto do CVE-2026-9082 nos sistemas?
O principal impacto é a injeção SQL arbitrária em sites com suporte PostgreSQL, o que pode levar à divulgação de informações e, em alguns casos, escalonamento de privilégios, execução remota de código ou outros ataques. O Drupal também diz que o problema pode ser explorado por usuários anônimos.
O CVE-2026-9082 ainda pode me afetar em 2026?
Sim. Os sites ainda podem estar expostos em 2026 se permanecerem em versões vulneráveis do núcleo do Drupal e usarem o PostgreSQL como banco de dados backend. As implementações do Drupal 8 e 9 não suportadas podem estar em risco adicional porque não recebem mais cobertura normal de segurança.
Como posso me proteger do CVE-2026-9082?
Atualize para a última versão corrigida do Drupal para seu ramo, confirme se o PostgreSQL está em uso, aplique patches de melhor esforço se ainda estiver no Drupal 8.9 ou 9.5, e priorize sites voltados para usuários anônimos para remediação imediata. A atualização também é recomendada para sites que não utilizam o PostgreSQL, pois a mesma versão inclui correções de segurança do Symfony e Twig.
