Das Drupal-Security-Team hat einen Patch für alle unterstützten Drupal-Core-Versionen veröffentlicht: Die zugehörige Schwachstelle trägt die Einstufung "Highly Critical" und erreicht mit 20 von 25 möglichen Punkten auf der Drupal-eigenen Risikoskala einen der höchsten Werte, die das System vergeben kann.

Die Bewertungsparameter sprechen für sich: "AC:None" bedeutet, dass kein besonderer Angriffskontext nötig ist, "A:None" schließt eine vorherige Authentifizierung der Angreifer aus. Dazu kommen "CI:All" und "II:All", also vollständige Vertraulichkeits- und Integritätsverluste im schlimmsten Fall. Einzig "E:Theoretical" (Exploit bislang nur theoretisch bekannt) und "TD:Uncommon" (nicht alle Konfigurationen betroffen) verhindern die Höchstpunktzahl. Das Security Team warnt ausdrücklich, dass funktionierende Exploits binnen Stunden oder weniger Tage nach dem Patch-Release auftauchen können.

PostgreSQL angreifbar

Das Problem steckt in der Datenbankabstraktions-API des Drupal-Cores, die eigentlich dafür sorgt, dass Datenbankabfragen gegen SQL-Injection-Angriffe abgesichert sind. Genau hier greift die Lücke – ein Angreifer kann speziell präparierte Anfragen senden und so beliebigen SQL-Code einschleusen. Betroffen sind ausschließlich Sites, die PostgreSQL als Datenbank einsetzen; wer MySQL oder MariaDB nutzt, ist durch diese spezifische Schwachstelle nicht gefährdet.

Die Lücke lässt sich ohne jede Authentifizierung ausnutzen, also auch von völlig anonymen Nutzern. Im schlimmsten Fall drohen Datenverlust, unbefugte Rechteerweiterung oder sogar Remote Code Execution. Die in den Sicherheits-Releases enthaltenen Updates für Drittanbieter-Abhängigkeiten betreffen allerdings alle Drupal-Installationen – unabhängig vom eingesetzten Datenbanksystem.

Fix auch für End-of-Life-Versionen

Betroffen sind die aktuell unterstützten Branches Drupal 11.3.x, 11.2.x, 10.6.x und 10.5.x. Wer noch auf End-of-Life-Versionen wie Drupal 11.1 oder 10.4 läuft, bekommt ausnahmsweise ebenfalls einen Fix – sollte aber bereits jetzt auf mindestens Drupal 11.1.9 beziehungsweise 10.4.9 aktualisieren, bevor das Sicherheitsfenster öffnet. Für die vollständig abgekündigten Hauptversionen Drupal 8 und 9 stellt das Team manuelle Patch-Dateien bereit, die jedoch keine Garantie auf fehlerfreie Funktion bieten. Drupal 7 ist von dieser Schwachstelle nicht betroffen.

Sites, die Drupal Steward nutzen – einen cloudbasierten Schutzdienst der Drupal Association – sind laut Ankündigung bereits gegen bekannte Angriffsvektoren abgesichert. Das Team empfiehlt dennoch ein zeitnahes Update, da zusätzliche Angriffsvektoren entdeckt werden könnten.