Como a falha funciona
Uma vulnerabilidade crítica de injeção SQL no Drupal Core, identificada como CVE-2026-9082 (CVSS 6.5), já sofreu mais de 15 mil tentativas de ataque contra cerca de 6 mil sites em 65 países. A CISA adicionou a falha ao catálogo KEV em 22 de maio de 2026 após confirmação de exploração ativa, menos de 48 horas após o release do patch.
A vulnerabilidade reside na API de abstração de banco de dados do Drupal, especificamente no handler de condições PostgreSQL EntityQuery. Chaves de array PHP controladas pelo usuário chegavam à construção de placeholders SQL sem saneamento adequado. Um invasor remoto não autenticado pode explorar a falha enviando requisições especialmente formuladas a um site Drupal que utiliza PostgreSQL como backend de banco de dados.
Segundo a Tenable, a correção aplicou array_values() para remover as chaves fornecidas pelo atacante e substituí-las por índices numéricos. A exploração bem-sucedida pode resultar em divulgação de informações, modificação ou exclusão de dados e, em algumas configurações, escalação de privilégios ou execução remota de código.
A falha afeta exclusivamente sites Drupal executados sobre PostgreSQL. Instalações com MySQL, MariaDB ou SQLite não são vulneráveis. O Drupal classificou a vulnerabilidade como 23 de 25 na sua própria escala de risco (“Altamente Crítica”), indicando impacto de confidencialidade e integridade total sobre dados acessíveis.
Ataque em massa detectado
A Imperva, empresa de segurança pertencente à Thales, detectou mais de 15 mil tentativas de ataque direcionadas a quase 6 mil sites individuais distribuídos por 65 países. Os setores de jogos e serviços financeiros foram os mais visados, concentrando cerca de 50% de todos os ataques observados.
“A maior parte da atividade observada até agora parece ser sondagem”, afirmou a Imperva. “Esse padrão sugere que atacantes e scanners estão tentando identificar sites Drupal expostos rodando configurações PostgreSQL vulneráveis. Embora a atividade atual seja dominada por reconhecimento, a natureza da vulnerabilidade significa que a exploração bem-sucedida pode rapidamente evoluir de sondagem para extração de dados ou escalação de privilégios.”
Um proof-of-concept de detecção e um laboratório de reprodução foram publicados no mesmo dia do advisory de segurança. O diff do patch foi compartilhado em redes sociais poucas horas após o release, acelerando significativamente a janela de armação. O histórico de exploração de vulnerabilidades Drupal — incluindo os notórios “Drupalgeddon” (CVE-2018-7600 e CVE-2018-7602) — demonstra que falhas dessa gravidade são weaponizadas em questão de horas.
| Métrica | Valor |
|---|---|
| Tentativas de ataque detectadas | 15.000+ |
| Sites individuais visados | ~6.000 |
| Países atingidos | 65 |
| Setores mais atacados | Jogos e serviços financeiros (~50%) |
| Fase predominante | Reconhecimento e sondagem |
| Classificação Drupal | 23/25 — Altamente Crítica |
Versões corrigidas do Drupal
O Drupal liberou correções para seis branches suportadas, além de releases excepcionais para versões end-of-life (8.9 e 9.5) que exigem patching manual. Sites em PostgreSQL devem ser atualizados imediatamente.
| Branch | Versão corrigida |
|---|---|
| Drupal 11.3.x | 11.3.10 |
| Drupal 11.2.x | 11.2.12 |
| Drupal 11.1.x | 11.1.10 |
| Drupal 10.6.x | 10.6.9 |
| Drupal 10.5.x | 10.5.10 |
| Drupal 10.4.x | 10.4.10 |
| Drupal 9.5 | Patch manual obrigatório |
| Drupal 8.9 | Patch manual obrigatório |
O que fazer agora
Administradores de sites Drupal devem primeiro identificar se o backend de banco de dados é PostgreSQL — apenas essas instalações são vulneráveis. Em caso afirmativo, aplicar o patch correspondente à branch em uso sem demora. Para ambientes de produção onde a atualização imediata não é viável, considere implementar regras WAF que bloqueiem requisições suspeitas contendo padrões anormais de array nas query strings.
Monitore os logs de acesso do servidor web em busca de requisições POST ou GET contendo parâmetros com chaves de array PHP manipuladas (padrões como condition[value][0]= seguidos de comandos SQL). A Imperva recomenda que sites dos setores de jogos e serviços financeiros priorizem a correção, dado o volume concentrado de ataques nesses segmentos.
Para sites em Drupal 8.9 ou 9.5, que não recebem atualizações automáticas, acesse o advisory SA-CORE-2026-004 em drupal.org para instruções de patching manual. Avalie também a migração para uma branch suportada, dado que versões end-of-life não receberão correções futuras.