A CISA alertou que uma falha de SQL injection no Drupal Core já está sendo explorada em ataques reais.
A vulnerabilidade, rastreada como CVE-2026-9082, foi incluída no catálogo de falhas exploradas conhecidas em 22 de maio de 2026.
O problema afeta o mecanismo de abstração de banco de dados do Drupal e permite a injeção de comandos SQL por meio de requisições especialmente criadas. A falha foi classificada como CWE-89, categoria associada à neutralização inadequada de elementos usados em consultas SQL.
De acordo com o registro técnico, versões do Drupal Core a partir da 8.9.0 estão vulneráveis quando não atualizadas para os lançamentos corrigidos. As correções estão disponíveis nas versões 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 e 11.3.10.
A inclusão no catálogo da CISA indica que há evidências de exploração ativa, o que eleva a urgência da correção. Órgãos federais dos Estados Unidos receberam prazo até 27 de maio de 2026 para aplicar mitigação ou remover sistemas vulneráveis de operação.
A falha preocupa porque o Drupal é usado em portais corporativos, governamentais e institucionais.
Em ambientes comprometidos, invasores podem tentar roubar informações, alterar conteúdo, criar contas administrativas ou instalar web shells para manter acesso persistente.
