Drupal 11.3.10: Parche de Seguridad Crítica para Inyección SQL en Entornos PostgreSQL

  • 22 May 2026 06:51 PM

El proyecto Drupal ha lanzado la versión 11.3.10, una actualización de seguridad calificada como "Altamente Crítica" para sitios que utilizan bases de datos PostgreSQL. Disponible desde el 20 de mayo de 2026, este lanzamiento corrige una vulnerabilidad de inyección SQL (CVE-2026-9082) en la API de abstracción de bases de datos que podría permitir a atacantes anónimos ejecutar código malicioso en servidores vulnerables. Se recomienda a los administradores de sitios que utilicen PostgreSQL actualizar sus equipos de cómputo con carácter de urgencia.

La comunidad de desarrollo de Drupal ha publicado la versión 11.3.10, una actualización de seguridad que forma parte del ciclo de mantenimiento de la serie 11.3.x.

Este lanzamiento aborda una vulnerabilidad crítica que afecta a la API de abstracción de bases de datos del núcleo de Drupal, especialmente en configuraciones que utilizan PostgreSQL.

Vulnerabilidad Crítica Corregida: Inyección SQL en PostgreSQL

El principal motor de este lanzamiento es la corrección de una vulnerabilidad clasificada como "Altamente Crítica", con una puntuación de 20/25 en el sistema de evaluación de riesgos de Drupal (equivalente a "critical" en la escala de CVSS).

La Amenaza: SQL Injection en la API de Abstracción de Bases de Datos (CVE-2026-9082)

La vulnerabilidad reside en la API de abstracción de bases de datos de Drupal core, que garantiza que las consultas ejecutadas contra la base de datos estén sanitizadas para prevenir ataques de inyección SQL.

El Riesgo en Detalle:

  • Alcance: Un fallo en esta API permite a un atacante enviar solicitudes especialmente diseñadas, resultando en inyección SQL arbitraria en sitios que utilizan bases de datos PostgreSQL.
  • Explotación: Esta vulnerabilidad puede ser explotada por usuarios anónimos, sin necesidad de autenticación previa en el sitio.
  • Impacto: La explotación exitosa puede derivar en:
    • Divulgación de información sensible (data disclosure)
    • Escalada de privilegios (privilege escalation)
    • Ejecución remota de código (RCE)
    • Otras formas de compromiso de la base de datos

Es importante señalar que esta vulnerabilidad solo afecta a los sitios que utilizan PostgreSQL como sistema de gestión de bases de datos.

Los sitios que utilizan MySQL o MariaDB no son vulnerables a este fallo específico, aunque las actualizaciones de dependencias se aplican a todos los sitios.

Actualizaciones de Dependencias: Symfony y Twig

Además del parche de inyección SQL, la versión 11.3.10 también incluye actualizaciones de seguridad para Symfony y Twig.

Estos proyectos han publicado importantes avisos de seguridad coordinados con este lanzamiento de Drupal, y el núcleo de Drupal se ve afectado por algunas de estas vulnerabilidades.

Recomendación:

Dependiendo de la configuración del sitio y los módulos contribuidos, los sitios pueden ser vulnerables a uno o más de estos problemas de dependencias.

Por lo tanto, actualizar estas dependencias es altamente recomendado independientemente de si la vulnerabilidad de inyección SQL afecta directamente al sitio o no.

También se recomienda revisar qué roles de usuario tienen la capacidad de actualizar plantillas Twig, por ejemplo a través de Views o módulos contribuidos.

Requisitos de PHP y Estado de Soporte

Para los administradores que ejecutan Drupal 11.3.10, es fundamental conocer la compatibilidad con las versiones del lenguaje de servidor PHP.

PHP 8.3 PHP 8.4 PHP 8.5
(Mínimo soportado) (Recomendado)
  • PHP 8.3 es la versión mínima soportada para ejecutar Drupal 11.3.x.
  • PHP 8.4 es la versión recomendada por el proyecto Drupal para sitios que utilizan Drupal 11.3 y superiores.
  • PHP 8.5 también es oficialmente compatible con Drupal 11.3.x, según la tabla de requisitos del proyecto.

Las versiones de Drupal 11.1.x, 11.0.x y anteriores ya han alcanzado su "fin de vida útil" (End of Life) y no reciben cobertura de seguridad.

Fechas Clave de Soporte para Drupal 11.3.x

La publicación de la versión 11.3.10 sirve como recordatorio del calendario de soporte de la serie 11.3.x:

  • Fin del soporte activo (corrección de errores no críticos): 16 de junio de 2026
  • Fin del soporte de seguridad: 16 de diciembre de 2026

Estas fechas proporcionan un horizonte claro para los administradores de sitios. Los sitios que operan en la rama 11.3.x tienen hasta diciembre de 2026 para planificar su migración a versiones más recientes, como Drupal 12, cuyo lanzamiento está programado para finales de 2026.

Disponibilidad y Cómo Actualizar

Drupal 11.3.10 ya está disponible para su descarga e instalación. Los administradores de sitios pueden actualizar a través de los métodos habituales:

  • Usando Composer: Ejecutando composer update "drupal/core-*" --with-all-dependencies en la terminal del servidor.
  • Actualización manual: Descargando el paquete desde la página de lanzamientos de Drupal Core en drupal.org y reemplazando los archivos del núcleo.

Dado que se trata de un lanzamiento de seguridad calificado como "Altamente Crítico", se recomienda aplicar la actualización con carácter prioritario, especialmente en sitios que utilizan PostgreSQL . Se recomienda realizar una copia de seguridad completa de la base de datos y los archivos del sitio, y probar la actualización en un entorno de ensayo antes de aplicarla en producción.