Números modestos, amenaza máxima: cómo una nueva vulnerabilidad en Drupal puso en alerta a todos los webmasters

Los administradores de sitios en Drupal deben comprobar con urgencia la versión del motor que usan, especialmente si el proyecto funciona con PostgreSQL. En el núcleo del CMS se ha encontrado una vulnerabilidad por la cual un atacante puede acceder a los datos del sitio, elevar privilegios y, en determinados escenarios, ejecutar código en el servidor.

El problema recibió el identificador CVE-2026-9082 y una puntuación de 6,5 según la escala CVSS. A pesar de no tener la cifra más alta, Drupal clasificó la vulnerabilidad como «highly critical» debido a las posibles consecuencias y a la facilidad del ataque. No se necesita una cuenta para explotarla; las solicitudes pueden enviarlas usuarios anónimos.

La vulnerabilidad afecta a la API de abstracción de base de datos en el núcleo de Drupal. Ese mecanismo verifica las consultas y ayuda a proteger los sitios de inyecciones SQL. Un error en la verificación permite enviar una consulta especialmente preparada y lograr una inyección SQL arbitraria en sitios que usan PostgreSQL.

El equipo de Drupal ha publicado versiones corregidas 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 y 10.4.10. Según el proyecto, Drupal 7 no está afectado. Para las ramas con soporte 11.3, 11.2, 10.6 y 10.5, las compilaciones recientes también incluyen actualizaciones de seguridad de Symfony y Twig, por lo que posponer la migración a las nuevas versiones es arriesgado.

Se han preparado correcciones manuales para Drupal 9.5 y 8.9, aunque ambas ramas ya no reciben soporte. Los desarrolladores subrayan que esas compilaciones se han publicado solo como ayuda temporal debido a la gravedad del problema. Las versiones antiguas siguen siendo vulnerables a otros errores divulgados anteriormente, y las ramas Drupal 11.1.x, 11.0.x, 10.4.x y anteriores ya no reciben mantenimiento completo.