Uma vulnerabilidade crítica de injeção SQL no Drupal Core, rastreada como CVE-2026-9082, foi explorada em massa por invasores não autenticados menos de 48 horas após o lançamento da correção. O ataque atingiu cerca de 6 mil sites com PostgreSQL, com 15 mil tentativas registradas, e pode resultar em execução remota de código.
Como a falha funciona
A vulnerabilidade reside na API de abstração de banco de dados do Drupal, cuja função é validar e sanitizar consultas antes de enviá-las ao backend. O mecanismo de proteção falhou: um invasor pode enviar requisições especialmente elaboradas que ultrapassam a sanitização e executam SQL arbitrário no PostgreSQL, conforme detalhado pela SOC Prime em análise publicada em 22 de maio de 2026.
O Drupal classificou a falha como 20/25 na sua escala própria de gravidade — o nível “altamente crítico”. O registro CVE lista pontuação 6.5/10, mas o impacto real pode ser significativamente maior dependendo da configuração do servidor e dos privilégios do usuário do banco de dados. A exploração pode levar a divulgação de dados sensíveis, escalação de privilégios e, em cenários específicos, execução remota de código, de acordo com o alerta emitido pela UC Berkeley Information Security Office em 21 de maio de 2026.
Um fator que amplia o risco: a vulnerabilidade pode ser explorada por usuários anônimos, sem qualquer tipo de autenticação. Sites públicos com a API JSON:API habilitada e PostgreSQL como backend estão particularmente expostos, pois a superfície de ataque é acessível pela internet sem barreiras adicionais.
A falha está ligada ao processamento de parâmetros em endpoints que utilizam a camada de abstração de banco de dados do Drupal. Quando um invasor manipula esses parâmetros de forma específica, consegue injetar comandos SQL que não são filtrados pela API. O PostgreSQL, por sua vez, executa esses comandos com os privilégios configurados para a conexão do Drupal, o que pode dar ao invasor acesso a tabelas de usuários, sessões ativas e dados administrativos.
Versões afetadas e correções
O escopo do CVE-2026-9082 é mais restrito do que manchetes genéricas sugerem. Somente instalações Drupal que utilizam PostgreSQL são diretamente vulneráveis à injeção SQL. Sites com MySQL ou MariaDB não são afetados por essa falha específica. O Drupal 7.x também não está no escopo da vulnerabilidade.
No entanto, as atualizações de segurança lançadas na mesma ocasião também corrigem vulnerabilidades relevantes nos componentes Symfony e Twig, que fazem parte do stack do Drupal. Por essa razão, a Drupal Security Advisory SA-CORE-2026-004 recomenda que todas as instalações sejam atualizadas, independentemente do banco de dados utilizado.
| Versão do Drupal | Versão vulnerável | Correção disponível |
|---|---|---|
| Drupal 10.4 | 10.4.9 e anteriores | 10.4.10 |
| Drupal 10.5 | 10.5.0 a 10.5.9 | 10.5.10 |
| Drupal 10.6 | 10.6.0 a 10.6.8 | 10.6.9 |
| Drupal 11.0/11.1 | 11.0.0 a 11.0.9 | 11.1.10 |
| Drupal 11.2 | 11.2.0 | 11.2.12 |
| Drupal 11.3 | 11.3.0 a 11.3.9 | 11.3.10 |
Exploração massiva registrada
Menos de 48 horas após o lançamento do patch em 18 de maio de 2026, ferramentas automatizadas e invasores já tinham iniciado a exploração em larga escala. Segundo relatos consolidados pela comunidade no Reddit r/cybersecurity, cerca de 15 mil tentativas de ataque foram registradas atingindo aproximadamente 6 mil sites Drupal ao redor do mundo.
A velocidade da exploração indica que agentes maliciosos monitoram de forma sistemática os advisories de segurança do Drupal. A janela de tempo entre a publicação da correção e o início dos ataques automatizados se reduziu drasticamente nos últimos anos, tornando essencial que administradores apliquem patches dentro de horas, não dias.
A vulnerabilidade foi adicionada ao catálogo KEV (Known Exploited Vulnerabilities) da CISA, que mantém a lista de falhas com exploração confirmada. A inclusão nesse catálogo exige que agências federais americanas apliquem a correção dentro do prazo regulatório estipulado, com data limite de 4 de junho de 2026, segundo o DIESEC.
O que fazer agora
Administradores de sites Drupal devem atualizar imediatamente para as versões corrigidas listadas na tabela acima. Para instalações com PostgreSQL, a atualização é considerada urgente — o ataque é ativo, não autenticado e conduzido de forma automatizada por bots que escaneiam a internet em busca de alvos.
Se a atualização não puder ser aplicada de imediato, a SentinelOne recomenda desabilitar temporariamente a API JSON:API e restringir o acesso ao backend do Drupal via regras de firewall ou WAF. A implantação de regras de detecção no SIEM para identificar padrões de injeção SQL nas requisições recebidas também é aconselhável.
Revise os logs do servidor web e do PostgreSQL em busca de consultas anômalas — especialmente chamadas envolvendo os endpoints afetados. Ataques bem-sucedidos podem ter exfiltrado dados de usuários, hashes de senhas e tokens de sessão, exigindo rotação de credenciais se houver indícios de comprometimento.
Para instalações que usam MySQL ou MariaDB, a injeção SQL do CVE-2026-9082 não se aplica, mas a atualização segue recomendada pelas correções adicionais de Symfony e Twig incluídas no mesmo release de segurança. O advisory original foi publicado como PSA-2026-05-18 em 18 de maio de 2026.
Este incidente demonstra mais uma vez que a velocidade de aplicação de patches é um dos fatores mais críticos na segurança de sistemas de gestão de conteúdo. A janela de exploração após disclosure mede agora em horas, e qualquer atraso na correção aumenta exponencialmente o risco de comprometimento.