Latest:
Falha crítica de SQL injection afeta Drupal e é explorada ativamente
NoticiasTecnologia

Drupal: falha crítica SQL injection já explorada em ataques

Diogo Fernando , 5 min Leitura
PUBLICIDADE

O sistema de gerenciamento de conteúdo Drupal está novamente no centro das atenções de especialistas em segurança cibernética após confirmar que uma falha crítica de SQL injection (CVE-2026-9082) está sendo ativamente explorada em ataques na Internet. A vulnerabilidade permite que invasores executem código arbitrário e acessem indevidamente bancos de dados, comprometendo milhões de sites que utilizam o CMS popular em hospedagens com PostgreSQL.

Entenda o que é a vulnerabilidade CVE-2026-9082

Identificada pelo pesquisador Michael Maturi, do grupo Google/Mandiant, a falha foi divulgada em 18 de maio de 2026 e afeta o Database Abstraction API do Drupal. Na prática, a vulnerabilidade permite que solicitações especialmente criadas injetem comandos SQL maliciosos, abrindo caminho para a manipulação e o roubo de dados sensíveis. Um ataque bem-sucedido pode resultar em execução remota de código, escalonamento de privilégios e divulgação indevida de informações.

De acordo com o aviso oficial do Drupal, a vulnerabilidade é explorável sem autenticação e recebeu uma classificação interna de “altamente crítica” (23 de 25 pontos). O NIST, por sua vez, atribuiu uma pontuação CVSS v3 de 6.5, indicando gravidade média.

PUBLICIDADE

Versões vulneráveis do Drupal

  • Drupal 8.9.x
  • Drupal 10.4.x antes da 10.4.10
  • Drupal 10.5.x antes da 10.5.10
  • Drupal 10.6.x antes da 10.6.9
  • Drupal 11.0.x / 11.1.x antes da 11.1.10
  • Drupal 11.2.x antes da 11.2.12
  • Drupal 11.3.x antes da 11.3.10

O alerta ressalta que versões mais antigas, como o Drupal 8 e 9, já estão fora do ciclo de suporte oficial (end-of-life), e que os patches fornecidos são oferecidos em regime de best effort, ou seja, sem garantia de cobertura completa. Especialistas alertam que manter essas versões representa um risco elevado de invasão.

Ataques confirmados em curso

No dia 22 de maio, o próprio time do Drupal confirmou que ataques explorando a falha já estão sendo detectados “no ambiente real”. Isso confirma os temores de que agentes de ameaça agiriam dentro de “horas ou dias” após o anúncio da vulnerabilidade, conforme o comunicado original do projeto. Segundo o relatório, os exploradores estão tentando injetar comandos SQL em sites Drupal com PostgreSQL mal configurado.

O pesquisador Bill Toulas, que acompanhou a evolução do caso, destacou que o cenário era previsível: “Quando uma vulnerabilidade de SQL injection é divulgada publicamente, o intervalo entre o aviso e a exploração é cada vez menor. O risco é crítico para sites que não aplicaram o patch imediatamente”.

Como proteger seu site Drupal

  • Atualize imediatamente para a versão mais recente do seu ramo de desenvolvimento;
  • Faça backup completo antes de aplicar as atualizações;
  • Se não utiliza PostgreSQL, ainda assim atualize, pois as versões corrigidas incluem atualizações de dependências como Symfony e Twig;
  • Implemente filtros de entrada e validação de dados para mitigar ataques de injeção;
  • Monitore logs de acesso e banco de dados em busca de comportamentos anômalos.

“Atualizar o Drupal o quanto antes não é negociável. Faça backups, aplique o patch e teste caminhos críticos antes de reabrir o site.”

ricksorken, especialista em cibersegurança

O que é uma falha de SQL injection

A injeção de SQL é uma técnica usada por invasores para inserir instruções SQL maliciosas em consultas de banco de dados por meio de campos de entrada de dados em sites. Esse tipo de falha pode resultar em exposição de dados sensíveis, alteração de tabelas e até acesso administrativo completo a sistemas críticos. Trata-se de uma das vulnerabilidades mais antigas e persistentes da web e continua a ser explorada em plataformas corporativas e governamentais.

Consequências para empresas e administradores

Empresas que dependem do Drupal para hospedar portais ou sistemas internos podem enfrentar vazamento de dados pessoais, perda de credenciais e interrupção de serviços. Além disso, o impacto de uma exploração pode repercutir em danos de reputação, multas de conformidade (como LGPD e GDPR) e perda de confiança do usuário final.

De acordo com consultores da Mandiant, um ataque desse tipo pode ser usado como ponto inicial para campanhas de ransomware e espionagem digital, especialmente em ambientes de infraestrutura corporativa em nuvem.

Medidas preventivas de longo prazo

  • Utilize escaneamentos automáticos de vulnerabilidade semanalmente;
  • Participe de webinars e treinamentos de cibersegurança;
  • Faça teste de penetração automatizado regularmente;
  • Evite o uso de módulos de terceiros desatualizados;
  • Mantenha a política de atualizações imediatas após advisories oficiais.

Perguntas frequentes

  1. Meu site Drupal é afetado pela CVE-2026-9082?

    Se o seu site utiliza PostgreSQL e versões entre o Drupal 8.9.x e 11.3.x (antes das atualizações mais recentes), ele está vulnerável. Recomenda-se atualização imediata e verificação de logs de banco de dados.

  2. A falha CVE-2026-9082 pode ser explorada sem login?

    Sim. A falha é explorável sem autenticação e pode permitir execução remota de código. Isso torna a vulnerabilidade altamente crítica e urgente de corrigir.

  3. Quais versões corrigem a vulnerabilidade no Drupal?

    As versões 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 e 11.3.10 já possuem patches. Atualizar para uma delas elimina o risco imediato da CVE-2026-9082.

  4. A vulnerabilidade afeta quem usa MySQL?

    A falha é específica para PostgreSQL, mas todas as instalações devem ser atualizadas, pois os patches incluem correções adicionais em dependências críticas.

Considerações finais

A vulnerabilidade CVE-2026-9082 reforça a necessidade de vigilância contínua no ecossistema de gestão de conteúdo open source. Mesmo soluções amplamente confiáveis, como o Drupal, podem se tornar alvos quando falhas críticas não são aplicadas a tempo. Administradores e desenvolvedores devem agir rapidamente, seguindo as orientações oficiais e adotando práticas proativas de cibersegurança para mitigar riscos futuros.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Você pode gostar também

Consumidor frustrado em ligação para atendimento ao cliente, ilustrando a queda na qualidade do serviço

Atendimento ao cliente piora: estudo revela causas e impactos

Diogo Fernando
Galaxy S25 Plus explode na Coreia; imagem do Samsung Members após incêndio e carbonização

Galaxy S25 Plus explode na mão; causa “desconhecida”

Diogo Fernando
Arte promocional de Helldivers 2 com soldados em batalha galáctica

Helldivers 2 chega ao Xbox Series X/S em 26 de agosto

Diogo Fernando