🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Drupal está alertando que hackers estão tentando explorar uma vulnerabilidade “altamente crítica” de injeção de SQL anunciada no início desta semana.
O projeto do sistema de gerenciamento de conteúdo (CMS) publicou um PSA em 18 de maio, pedindo aos administradores que reservem tempo para atualizações básicas que abordem um problema que os agentes de ameaças podem começar a explorar “dentro de horas ou dias”.
A falha agora é rastreada como CVE-2026-9082 e foi descoberta pelo pesquisador do Google/Mandiant, Michael Maturi. Afeta a API de abstração de banco de dados do Drupal. Ele permite que solicitações especialmente criadas acionem injeção arbitrária de SQL em sites que usam PostgreSQL.
A injeção de SQL é uma falha na qual os invasores injetam comandos SQL maliciosos em consultas de banco de dados por meio de campos de entrada do usuário ou caixas de diálogo em sites, resultando em acesso não autorizado, modificação ou exclusão de dados do banco de dados.
A falha pode ser explorada sem autenticação e pode resultar na execução remota de código, escalonamento de privilégios e divulgação de informações.
Numa atualização do comunicado de 22 de maio, o Drupal confirmou que foram detectadas tentativas de exploração.
“A pontuação de risco foi atualizada para refletir que as tentativas de exploração agora estão sendo detectadas”, diz o comunicado atualizado.
O Drupal classificou a vulnerabilidade como “altamente crítica”, atribuindo-lhe uma pontuação interna de 23 em 25. No entanto, o NIST classificou-a como “gravidade média” com base em uma pontuação CVSS v3 de 6,5.
Impacto e recomendações
CVE-2026-9082 afeta uma ampla gama de versões do Drupal, incluindo:
Drupal 8.9.x
Drupal 10.4.x antes de 10.4.10
Drupal 10.5.x antes de 10.5.10
Drupal 10.6.x antes de 10.6.9
Drupal 11.0.x/11.1.x antes de 11.1.10
Drupal 11.2.x antes de 11.2.12
Drupal 11.3.x antes de 11.3.10
Recomenda-se que proprietários e administradores de sites atualizem imediatamente para a versão mais recente disponível em sua filial.
Aqueles que não usam PostgreSQL ainda são aconselhados a atualizar, pois as atualizações de segurança mais recentes também incluem correções para dependências upstream, incluindo Symfony e Twig.
O comunicado sublinha que o Drupal 8 e 9 estão em fim de vida (EoL) e que os patches são fornecidos com base no “melhor esforço”; no entanto, essas ramificações ainda contêm outras vulnerabilidades conhecidas, portanto, continuar a usá-las é inerentemente arriscado.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
O projeto do sistema de gerenciamento de conteúdo (CMS) publicou um PSA em 18 de maio, pedindo aos administradores que reservem tempo para atualizações básicas que abordem um problema que os agentes de ameaças podem começar a explorar “dentro de horas ou dias”.
A falha agora é rastreada como CVE-2026-9082 e foi descoberta pelo pesquisador do Google/Mandiant, Michael Maturi. Afeta a API de abstração de banco de dados do Drupal. Ele permite que solicitações especialmente criadas acionem injeção arbitrária de SQL em sites que usam PostgreSQL.
A injeção de SQL é uma falha na qual os invasores injetam comandos SQL maliciosos em consultas de banco de dados por meio de campos de entrada do usuário ou caixas de diálogo em sites, resultando em acesso não autorizado, modificação ou exclusão de dados do banco de dados.
A falha pode ser explorada sem autenticação e pode resultar na execução remota de código, escalonamento de privilégios e divulgação de informações.
Numa atualização do comunicado de 22 de maio, o Drupal confirmou que foram detectadas tentativas de exploração.
“A pontuação de risco foi atualizada para refletir que as tentativas de exploração agora estão sendo detectadas”, diz o comunicado atualizado.
O Drupal classificou a vulnerabilidade como “altamente crítica”, atribuindo-lhe uma pontuação interna de 23 em 25. No entanto, o NIST classificou-a como “gravidade média” com base em uma pontuação CVSS v3 de 6,5.
Impacto e recomendações
CVE-2026-9082 afeta uma ampla gama de versões do Drupal, incluindo:
Drupal 8.9.x
Drupal 10.4.x antes de 10.4.10
Drupal 10.5.x antes de 10.5.10
Drupal 10.6.x antes de 10.6.9
Drupal 11.0.x/11.1.x antes de 11.1.10
Drupal 11.2.x antes de 11.2.12
Drupal 11.3.x antes de 11.3.10
Recomenda-se que proprietários e administradores de sites atualizem imediatamente para a versão mais recente disponível em sua filial.
Aqueles que não usam PostgreSQL ainda são aconselhados a atualizar, pois as atualizações de segurança mais recentes também incluem correções para dependências upstream, incluindo Symfony e Twig.
O comunicado sublinha que o Drupal 8 e 9 estão em fim de vida (EoL) e que os patches são fornecidos com base no “melhor esforço”; no entanto, essas ramificações ainda contêm outras vulnerabilidades conhecidas, portanto, continuar a usá-las é inerentemente arriscado.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #drupal: #falha #crítica #de #injeção #de #sql #agora #alvo #de #ataques
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário