CVE-2026-9082
Drupal core - Highly critical - SQL injection - SA-CORE-2026-004
Em resumo
O Drupal possui uma falha crítica de injeção SQL que permite a invasores contornar a segurança e manipular diretamente o banco de dados ao injetar código malicioso nas consultas. Isso possibilita roubar, modificar ou deletar dados sensíveis em sites afetados.
Detalhe técnico
Vulnerabilidade de SQL injection no núcleo do Drupal causada por neutralização inadequada de caracteres especiais em comandos SQL. Afeta múltiplas versões (8.9.0–10.4.9, 10.5.0–10.5.9, 10.6.0–10.6.8, 11.0.0–11.1.9, 11.2.0–11.2.11, 11.3.0–11.3.9). A exploração bem-sucedida permite manipulação do banco de dados, exfiltração de dados e potencial execução de código dependendo das permissões do banco.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Drupal Drupal core allows SQL Injection.
This issue affects Drupal core: from 8.9.0 before 10.4.10, from 10.5.0 before 10.5.10, from 10.6.0 before 10.6.9, from 11.0.0 before 11.1.10, from 11.2.0 before 11.2.12, from 11.3.0 before 11.3.10.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Drupal · Drupal corePoCs públicas encontradas — 13
githubgithub.com/7h30th3r0n3/CVE-2026-9082-Drupal-PoC★ 17githubgithub.com/ambionics/cve-2026-9082-drupal-postgresql-rce★ 10githubgithub.com/N45HT/drupal-cve-2026-9082-checker★ 6githubgithub.com/HORKimhab/CVE-2026-9082★ 2githubgithub.com/0xBlackash/CVE-2026-9082★ 1githubgithub.com/sourcecode347/CVE-2026-9082-Mass_Scanner★ 1githubgithub.com/ywh-jfellus/CVE-2026-9082★ 1githubgithub.com/11romain/CVE-2026-9082★ 0githubgithub.com/eliHiHo/portfolio-drupal-cve-2026-9082★ 0githubgithub.com/thinhap/CVE-2026-9082-PoC★ 0githubgithub.com/lysophavin18/cve-2026-9082★ 0githubgithub.com/strobelpierre/CVE-2026-9082★ 0exploitdbwww.exploit-db.com/exploits/52608não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →