Drupal: rilasciata patch "altamente critica", exploit attesi in poche ore (aggiornato: 21 maggio 2026, ore 12:22)

Oggi è uno di quei giorni in cui chi amministra un sito Drupal deve agire tempestivamente. Dopo un preavviso insolitamente urgente diramato ieri, il progetto Drupal ha ufficialmente rilasciato una patch di sicurezza critica per il core del CMS. La falla, tracciata come CVE-2026-9082, colpisce il livello di astrazione del database nel core del CMS e riguarda specificamente le installazioni che usano PostgreSQL come backend. Alcuni aspetti della severità effettiva restano da chiarire, ma il quadro è abbastanza preoccupante da richiedere attenzione immediata: gli exploit potrebbero comparire nel giro di pochissime ore

Che cosa si rompe, e dove

Il problema risiede nel database abstraction API di Drupal - lo strato software progettato esattamente per sanificare le query SQL e prevenire attacchi di tipo injection. Ironia della sorte: è proprio quel meccanismo di difesa a essere compromesso. Richieste HTTP appositamente costruite riescono a scavalcare completamente la sanificazione, consentendo l'esecuzione di SQL arbitrario direttamente contro il database. Il dettaglio più allarmante è che la vulnerabilità è sfruttabile da utenti anonimi, senza credenziali né accesso privilegiato di alcun tipo.

Le conseguenze possibili spaziano dall'esfiltrazione di dati - record utente, contenuti privati, credenziali - alla scalata di privilegi, fino all'esecuzione di codice remoto e alla compromissione completa del server. L'advisory precisa che RCE e scalata di privilegi si verificano «in alcune configurazioni», non universalmente.

Sono colpite solo le installazioni che utilizzano PostgreSQL. Chi si affida a MySQL o MariaDB non è esposto a questa specifica falla. La stessa valutazione di rischio dell'advisory riflette questa limitazione con un parametro di distribuzione del bersaglio classificato come «Uncommon».

Chi deve agire, e su quali versioni

Tutte le release supportate di Drupal dalla 10.4 alla 11.3 rientrano nel perimetro interessato. Le versioni corrette sono già disponibili:

• Drupal 11.3.x → 11.3.10
• Drupal 11.2.x → 11.2.12
• Drupal 11.1.x (e 11.0.x) → 11.1.10
• Drupal 10.6.x → 10.6.9
• Drupal 10.5.x → 10.5.10
• Drupal 10.4.x (e precedenti 10.x) → 10.4.10

Scelta rara: il team ha rilasciato anche patch manuali «best-effort» per Drupal 9 e Drupal 8.9, versioni ormai fuori dal ciclo di supporto. È un provvedimento eccezionale, riservato ai casi di gravità elevata. Chi gestisce siti ancora su quelle release dovrebbe sapere che le patch coprono solo questa vulnerabilità, lasciando esposte tutte le altre falle accumulate nel tempo.

Non solo SQL injection: Symfony e Twig nel pacchetto

Tutte le release corrette includono anche aggiornamenti di sicurezza per Symfony e Twig, le due librerie PHP su cui Drupal poggia in modo massiccio. L'advisory avverte che i siti possono essere esposti a queste vulnerabilità upstream anche se non utilizzano PostgreSQL. In altre parole: tutti i siti Drupal dovrebbero aggiornare, indipendentemente dal database in uso.

Un'attenzione particolare va rivolta ai permessi legati ai template Twig. L'advisory raccomanda di verificare quali ruoli utente hanno la possibilità di modificarli - ad esempio attraverso Views o moduli contribuiti - poiché un'iniezione di template Twig potrebbe amplificare il rischio complessivo.

» Leggi: Emergenza per Symfony: Twig 3.26.0 corregge 13 vulnerabilità. Due sono critiche e permettono l'esecuzione di codice da remoto

Mitigazione e prossimi passi

I siti protetti da Drupal Steward, il servizio di protezione basato su WAF offerto dal progetto, risultano già schermati dai vettori d'attacco noti. L'aggiornamento resta comunque raccomandato: nulla esclude che emergano percorsi di sfruttamento alternativi.

Due giorni prima della pubblicazione completa il team aveva emesso un avviso preliminare (PSA), un protocollo ormai consolidato per le vulnerabilità ad alta severità che consente agli amministratori di prepararsi alla finestra di aggiornamento. Chi non ha ancora applicato le patch ha esaurito il margine di tempo ragionevole. Con una falla sfruttabile senza autenticazione, la distanza tra la pubblicazione di un advisory e la comparsa di exploit automatizzati tende a essere pericolosamente breve.