← Alertas
Otro Activa

Inyección SQL en Drupal Core con explotación activa — CISA la suma al registro KEV

CISA confirmó explotación activa de CVE-2026-9082, una inyección SQL en Drupal Core que afecta todas las versiones soportadas. Los sitios sin actualizar son objetivo inmediato.

2026-05-23 · The Hacker News

Contexto

La Agencia de Ciberseguridad de EE.UU. (CISA) agregó CVE-2026-9082 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando explotación activa en la naturaleza. La falla es una inyección SQL en Drupal Core que afecta todas las versiones soportadas actualmente. Aunque el puntaje CVSS es 6.5, la inclusión en el KEV indica que actores maliciosos ya la están aprovechando contra sitios en producción.

Impacto potencial

Los sitios Drupal sin actualizar son vectores activos para extracción de bases de datos y potencial toma de control del sitio. Para organizaciones que operan portales, e-commerce o intranets sobre Drupal, el riesgo de exposición de datos de clientes o empleados es inmediato.

Recomendaciones

Leer fuente original →