Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arbitrária em sites que utilizem bases de dados PostgreSQL, com possíveis consequências que vão desde a divulgação de informações até a escalada de privilégios e a execução remota de código. O erro, registrado como CVE-2026-9082 e com uma pontuação CVSS média de 6.5/10 segundo CVE.org, reside na camada de abstração de base de dados que Drupal usa para validar e sanear as consultas; uma validação defeituosa possibilita que pedidos especialmente concebidos saltem essas proteções quando o backend é PostgreSQL ( CVE-2026-9082). É importante sublinhar que a exploração pode ser efectuada por utilizadores anónimos, o que aumenta a urgência de aplicar adesivos.
Os ramos suportados que já têm lançamentos que corrigem o problema são, entre outras, Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10; Drupal 7, por sua vez, não é afetado. Drupal também indicou que as publicações para os ramos suportados incluem atualizações upstream para Symfony e Twig, pelo que é crucial instalar versões completas publicadas e não limitar-se a adesivos parciais. Para instruções oficiais sobre como atualizar o núcleo deve ser enviado à documentação de atualizações do Drupal ( Atualização do Drupal Core), e à página de segurança do projeto para avisos e pacotes oficiais ( Drupal Security).
Do ponto de vista operacional e de risco, esta vulnerabilidade reúne vários fatores preocupantes: afeta apenas instalações com PostgreSQL – portanto, muitos sites MySQL/MariaDB ficam fora –, mas a possibilidade de exploração por usuários anônimos e o potencial de escalada até execução remota converte as instalações vulneráveis em objetivos prioritários. Além disso, Drupal publicou adesivos manuais como “best effort” para ramos em fim de vida, como Drupal 9 e 8, mas esses adesivos não substituem a cobertura de segurança completa; os ramos EOL continuarão a ter outras vulnerabilidades conhecidas sem sistema oficial, pelo que a cobertura de segurança completa não é substituída. melhor estratégia a médio prazo é migrar para um ramo suportado.
Para administradores e responsáveis pela segurança, o roteiro imediato deve incluir a aplicação das actualizações publicadas logo que possível após uma validação mínima em ambiente de testes, fazer cópias de segurança completas antes de tocar produção e rever as permissões da conta de base de dados para reduzir o blast radius em caso de exploração. Se por restrições não for possível actualizar imediatamente, é conveniente mitigar com regras temporárias ao nível da Web Application Firewall que bloqueem padrões suspeitos, endurecer regras de acesso à interface administrativa e restringir o acesso à base de dados da rede pública. Também é recomendável rodar credenciais de base de dados e chaves, e garantir os backups.
Além de atualizar, é importante procurar indicadores de compromisso derivados de injeções SQL: consultas invulgares, criação de usuários administrativos inesperados, modificações de código ou arquivos no sistema de arquivos, presença de web shells e tráfego saliente do servidor para destinos desconhecidos. O monitoramento de logs do servidor web e do PostgreSQL pode revelar tentativas de exploração; ferramentas de detecção de intrusões e análise de integridade de arquivos ajudam a confirmar se uma intrusão teve sucesso. Se detectar atividade anormal, isole o sistema afetado e faça uma análise forense antes de restaurar de uma cópia segura.
Em termos mais amplos, este incidente sublinha a necessidade de manter uma política de gestão de versões e adesivos: usar versões suportadas, automatizar atualizações críticas quando possível, e testar dependências upstream como Symfony e Twig, que neste caso foram atualizadas nos ramos corrigidos. Para melhor entender o risco da injeção SQL e as melhores práticas para mitigar a nível de aplicação, consultar o guia OWASP sobre SQL Injection ( OWASP SQL Injection). Finalmente, se a sua organização não tem capacidade interna para responder a um possível compromisso, considere contratar suporte especializado ou serviços de resposta a incidentes para assegurar uma remediação completa e uma recuperação controlada.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...