Drupal Lanza Parches Urgentes: Múltiples Versiones Vulnerables a Inyección SQL Crítica
- 22 May 2026 07:05 PM
El proyecto Drupal ha publicado actualizaciones de seguridad para mitigar una vulnerabilidad "Altamente Crítica" de inyección SQL (CVE-2026-9082) que afecta a sitios que utilizan PostgreSQL. Las versiones parcheadas incluyen Drupal 11.2.12, 11.1.10 y 10.6.9, disponibles desde el 20 de mayo de 2026. La falla, que puede ser explotada de forma anónima para lograr ejecución remota de código, ya está siendo atacada activamente en entornos de producción, por lo que se recomienda a los administradores actualizar sus equipos de cómputo con carácter de urgencia.
El equipo de seguridad de Drupal ha lanzado una serie de actualizaciones críticas para múltiples ramas del CMS, respondiendo al descubrimiento de CVE-2026-9082.
Esta vulnerabilidad, calificada internamente con una puntuación de 20/25 y considerada "Altamente Crítica" por el proyecto, afecta a la capa de abstracción de base de datos del núcleo y es especialmente peligrosa para configuraciones que utilizan PostgreSQL.
Vulnerabilidad Crítica: CVE-2026-9082 (Inyección SQL)
La Amenaza en Detalle
La vulnerabilidad reside en una falla en la API de abstracción de bases de datos de Drupal, que normalmente se encarga de sanitizar las consultas contra ataques de inyección SQL.
Un error en el manejo de ciertos parámetros, particularmente en el código que ajusta las comparaciones para PostgreSQL (que es sensible a mayúsculas y minúsculas), permite a un atacante inyectar código SQL arbitrario en las consultas de la base de datos.
- Alcance y Explotación: La falla afecta exclusivamente a sitios que utilizan PostgreSQL como motor de base de datos . Un aspecto crítico es que puede ser explotada por usuarios anónimos, sin necesidad de disponer de una cuenta de usuario en el sitio.
- Impacto Potencial: La explotación exitosa puede tener consecuencias devastadoras:
- Divulgación de Información: Acceso a datos sensibles almacenados en la base de datos.
- Escalada de Privilegios: Elevación de permisos dentro del sistema.
- Ejecución Remota de Código (RCE): En el peor de los casos, los atacantes podrían ejecutar código arbitrario en el servidor, tomando el control total del mismo.
- Estado Actual: El proyecto ha confirmado que ya se están detectando intentos de explotación activa en entornos reales, lo que eleva la urgencia de la actualización a un nivel máximo.
Versiones Parcheadas y Disponibilidad
El equipo de Drupal ha lanzado parches para todas las ramas que aún reciben soporte activo. Las siguientes versiones contienen la corrección para CVE-2026-9082:
| Rama de Drupal | Versión Parcheada |
|---|---|
| 11.3.x | 11.3.10 |
| 11.2.x | 11.2.12 |
| 11.1.x / 11.0.x | 11.1.10 |
| 10.6.x | 10.6.9 |
| 10.5.x | 10.5.10 |
| 10.4.x (y anteriores) | 10.4.10 |
Fuente: Drupal Security Advisory SA-CORE-2026-004
Es importante señalar que, aunque Drupal 8 y Drupal 9 ya han llegado al final de su vida útil (End-of-Life) y no reciben soporte regular, el equipo de seguridad ha publicado parches de "mejor esfuerzo" para las versiones 8.9 y 9.5 debido a la criticidad de la falla.
Sin embargo, se recomienda encarecidamente migrar a una versión soportada, ya que estas ramas antiguas pueden contener otras vulnerabilidades no parcheadas.
Afectación y Consideraciones Clave
Solo PostgreSQL es vulnerable
Es fundamental aclarar que esta vulnerabilidad solo afecta a los sitios que utilizan PostgreSQL como sistema de gestión de bases de datos.
Los sitios que funcionan con MySQL o MariaDB no son vulnerables a este vector de ataque específico.
La actualización es necesaria para todos
A pesar de lo anterior, se recomienda a todos los administradores de sitios Drupal, independientemente de su motor de base de datos, que actualicen a la última versión disponible. Las nuevas versiones también incluyen actualizaciones de seguridad upstream para las dependencias Symfony y Twig, lo que significa que incluso los sitios en MySQL se beneficiarían de los parches al actualizar sus equipos de cómputo.
Fechas Clave de Fin de Soporte
Este aviso de seguridad sirve como un recordatorio crucial del calendario de soporte para las ramas activas de Drupal. Los administradores deben ser conscientes de que la ventana de seguridad para ciertas versiones está a punto de cerrarse:
- Fin de soporte de seguridad para Drupal 11.2.x, 10.5.x y 10.4.x: 16 de junio de 2026.
- Fin de soporte de seguridad para Drupal 11.3.x y 10.6.x: 16 de diciembre de 2026.
Para quienes aún operan en las ramas 11.2 o 10.5, la fecha límite para planificar una migración segura a versiones más recientes (como 11.3 o la próxima 11.4) es inminente.
Cómo Actualizar y Recomendaciones
Se recomienda a los administradores de sitios Drupal que utilicen PostgreSQL aplicar esta actualización de manera inmediata.
El proceso de actualización se puede realizar a través de los métodos habituales:
- Usando Composer: Ejecutando
composer update "drupal/core-*" --with-all-dependenciesen la terminal del servidor. - Actualización manual: Descargando el paquete desde la página de lanzamientos de Drupal Core.
Dado que los exploits ya están circulando activamente, cualquier demora en la actualización expone el sitio a un riesgo significativo de compromiso.