Kritisches Drupal-Sicherheitsupdate: SQL Injection (SA-CORE-2026-004)

Am 20. Mai 2026 hat das Drupal Security Team ein hochkritisches Sicherheitsupdate veröffentlicht. Die Schwachstelle SA-CORE-2026-004 (CVE-2026-9082) ermöglicht SQL-Injection-Angriffe auf Drupal-Websites mit PostgreSQL-Datenbanken. Die Lücke kann von anonymen Besuchern ohne Login ausgenutzt werden.

Was ist betroffen?

Alle Drupal-Versionen ab 8.9 bis zu den aktuellen 11.3-Releases sind betroffen. Die SQL-Injection selbst trifft nur Websites mit PostgreSQL. Allerdings enthalten die Updates auch Sicherheitskorrekturen für Symfony und Twig, die alle Drupal-Installationen betreffen, unabhängig von der Datenbank.

Was NETNODE unternommen hat

Wir haben die Sicherheitsupdates bei allen von uns betreuten Drupal-Projekten mit Wartungsvertrag eingespielt oder sind daran dieses einzuspielen. Betroffene Kunden wurden direkt informiert. Wenn Sie ein Drupal-Projekt betreiben, das nicht von NETNODE betreut wird, empfehlen wir dringend, das Update sofort durchzuführen.

Auch NodeHive SaaS Kunden sind in Sicherheit. Die Updates sind bereits eingespielt.

Welche Versionen beheben das Problem?

• Drupal 11.3.10
• Drupal 11.2.12
• Drupal 11.1.10
• Drupal 10.6.9
• Drupal 10.5.10
• Drupal 10.4.10

Die vollständigen Details finden Sie im offiziellen Drupal Security Advisory.

NETNODE Empfehlung

Sicherheitsupdates bei Drupal sollten innerhalb von 24 Stunden eingespielt werden, besonders bei der Einstufung "Highly Critical". Wer ein Drupal-Projekt betreibt, braucht einen klaren Prozess für solche Fälle: Monitoring der Security Advisories, schnelle Reaktion und regelmässige Updates als Grundlage. NETNODE übernimmt das für alle betreuten Projekte automatisch.

Wie unser Prozess bei einem kritischen Update konkret aussieht, beschreiben wir in So handeln wir bei einem kritischen Drupal Security Update. Mehr zur Sicherheitsarchitektur von Drupal erfahren Sie in Wie sicher ist Drupal?