CVE-2026-9082
Drupal core - Highly critical - SQL injection - SA-CORE-2026-004
En resumen
Drupal tiene una falla crítica de inyección SQL que permite a atacantes eludir la seguridad y manipular directamente la base de datos inyectando código malicioso en consultas. Esto permite robar, modificar o eliminar datos sensibles en sitios afectados.
Detalle técnico
Vulnerabilidad de inyección SQL en el núcleo de Drupal por neutralización inadecuada de caracteres especiales en comandos SQL. Afecta múltiples versiones (8.9.0–10.4.9, 10.5.0–10.5.9, 10.6.0–10.6.8, 11.0.0–11.1.9, 11.2.0–11.2.11, 11.3.0–11.3.9). La explotación exitosa permite manipulación de base de datos, exfiltración de datos y ejecución potencial de código según los permisos de la base de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Drupal Drupal core allows SQL Injection.
This issue affects Drupal core: from 8.9.0 before 10.4.10, from 10.5.0 before 10.5.10, from 10.6.0 before 10.6.9, from 11.0.0 before 11.1.10, from 11.2.0 before 11.2.12, from 11.3.0 before 11.3.10.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Drupal · Drupal corePoCs públicas encontradas — 13
githubgithub.com/7h30th3r0n3/CVE-2026-9082-Drupal-PoC★ 17githubgithub.com/ambionics/cve-2026-9082-drupal-postgresql-rce★ 10githubgithub.com/N45HT/drupal-cve-2026-9082-checker★ 6githubgithub.com/HORKimhab/CVE-2026-9082★ 2githubgithub.com/0xBlackash/CVE-2026-9082★ 1githubgithub.com/sourcecode347/CVE-2026-9082-Mass_Scanner★ 1githubgithub.com/ywh-jfellus/CVE-2026-9082★ 1githubgithub.com/11romain/CVE-2026-9082★ 0githubgithub.com/eliHiHo/portfolio-drupal-cve-2026-9082★ 0githubgithub.com/thinhap/CVE-2026-9082-PoC★ 0githubgithub.com/lysophavin18/cve-2026-9082★ 0githubgithub.com/strobelpierre/CVE-2026-9082★ 0exploitdbwww.exploit-db.com/exploits/52608no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →