CISA dá prazo para agências dos EUA corrigirem falha crítica no Drupal
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que agências governamentais têm até a noite de quarta-feira para corrigir uma vulnerabilidade de injeção SQL no sistema de gerenciamento de conteúdo Drupal, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi, permite que atacantes realizem injeções SQL arbitrárias em sites que utilizam PostgreSQL, sem necessidade de autenticação. A exploração bem-sucedida pode resultar em divulgação de informações, escalonamento de privilégios e execução remota de código. A equipe de segurança do Drupal classificou a vulnerabilidade como “altamente crítica” e já foram detectadas tentativas de exploração em mais de 15.000 sites em 65 países, com foco em setores como jogos e serviços financeiros. A CISA incluiu a falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e recomendou que todas as organizações, incluindo as do setor privado, apliquem os patches o mais rápido possível. A CISA enfatizou a importância de mitigar essa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos.
