1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


TugaTech » Software » Noticias de Software » Drupal alerta para falha crítica ativamente explorada por piratas informáticos

Drupal logo com hacker

O gestor de conteúdos Drupal emitiu um aviso urgente para todos os administradores devido a uma vulnerabilidade crítica de injeção de SQL que já está a ser alvo de ataques ativos, segundo a informação partilhada no boletim de segurança oficial. Numa atualização feita a 22 de maio, a equipa confirmou a deteção de tentativas de exploração.

O impacto e os riscos da nova vulnerabilidade

Rastreado como CVE-2026-9082, o problema foi descoberto por Michael Maturi, um investigador da Google e da Mandiant. Esta vulnerabilidade afeta a API de abstração da base de dados do sistema, permitindo que pedidos manipulados executem ataques de injeção de SQL em sites que funcionam com PostgreSQL.

Através desta técnica, os atacantes conseguem introduzir comandos maliciosos diretamente nas consultas da base de dados. O mais grave é que o problema pode ser explorado sem qualquer necessidade de autenticação, o que pode resultar na execução remota de código, escalonamento de privilégios e divulgação de informações sensíveis.

O Drupal classificou o risco como altamente crítico, com uma pontuação interna de 23 em 25, justificada também pela alteração no estado da ameaça após serem detetados ataques reais. Por sua vez, o NIST atribuiu uma gravidade média com base na pontuação CVSS v3 de 6.5.

Versões afetadas e as recomendações de segurança

A falha afeta uma vasta lista de versões do sistema. O impacto estende-se ao Drupal 8.9.x, bem como a várias ramificações mais recentes, incluindo as versões 10.4.x (anteriores à 10.4.10), 10.5.x (anteriores à 10.5.10), 10.6.x (anteriores à 10.6.9), 11.0.x e 11.1.x (anteriores à 11.1.10), 11.2.x (anteriores à 11.2.12) e 11.3.x (anteriores à 11.3.10).

A principal recomendação para os proprietários e administradores de sites é a atualização imediata para a versão mais recente disponível na sua respetiva ramificação. Mesmo os utilizadores que não recorrem ao PostgreSQL devem aplicar a atualização, uma vez que as correções mais recentes abrangem vulnerabilidades adicionais em dependências como o Symfony e o Twig.

O comunicado oficial sublinha ainda que as versões 8 e 9 já atingiram o fim de vida útil e as correções são disponibilizadas apenas num esforço de mitigação, lembrando que a utilização destas plataformas antigas representa um risco elevado de segurança devido a outros problemas conhecidos e não resolvidos.

Adicionar o TugaTech
como Fonte Preferida no Google
Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!

Comentar





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech