Drupal heeft een ernstig beveiligingslek in Drupal core gedicht. Het gaat om een SQL‑injectie in de database‑abstractielaag. Vooral sites die op PostgreSQL draaien lopen risico: een aanvaller kan zonder inlog speciale verzoeken sturen en zo willekeurige SQL‑commando’s uitvoeren. Gevolgen variëren van datalekken tot, in sommige situaties, het verhogen van rechten of zelfs remote code execution. De fix is op 20 mei 2026 uitgebracht onder CVE‑2026‑9082 (SA‑CORE‑2026‑004). (drupal.org)

Wie is getroffen en wat moet je installeren

• Kwetsbare reeksen: vanaf 8.9.0 tot en met specifieke 10.x‑ en 11.x‑releases. Concreet is het gat gedicht in: 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 en 11.3.10. Draai je een versie onder deze nummers, dan moet je bijwerken. Voor 8.9 en alle 9.x‑versies zijn er als best‑effort patches beschikbaar. (drupal.org)
• Belangrijk: de SQL‑injectie treft alleen sites met PostgreSQL. Gebruik je MySQDe kans op misbruik van deze kwetsbaarheid is laag en de schade is gemiddeldariaDB of SQLite, dan ben je niet kwetsbaar voor dit specifieke probleem, maar de update blijft dringend vanwege meegeleverde dependency‑fixes (zie hieronder). (drupal.org)

Meer dan alleen Drupal core: ook Symfony en Twig bijgewerkt
De beveiligingsrelease bevat daarnaast updates voor Symfony en Twig, twee veelgebruikte onderdelen binnen Drupal. Deze fixes zijn relevant voor alle ondersteunde branches. In de 11.2‑lijn is bijvoorbeeld Twig geüpdatet naar 3.26.0 en Symfony naar 7.4.12. Ook is er hardening opgenomen voor Composer en underscore.js. Kortom: updaten is verstandig, óók als je geen PostgreSQL gebruikt. (drupal.org)

Wat je nu het beste doet

• Check je database. Weet je niet zeker of je PostgreSQL draait? Kijk in Beheer > Rapporten > Statusrapport of voer met Drush “drush status” uit en controleer de database‑driver.
• Update direct naar de gepatchte release in jouw lijn. Gebruik je Composer, voer dan een volledige core‑update met afhankelijkheden uit, bijvoorbeeld: composer update "drupal/core-*" –with-all-dependencies. Wil je exact naar 11.2.12, gebruik dan: composer require drupal/core-recommended:11.2.12 drupal/core-composer-scaffold:11.2.12 drupal/core-project-message:11.2.12 –update-with-all-dependencies. (drupal.org)
• Maak vooraf een back‑up van code en database. Test de update waar mogelijk eerst in acceptatie.
• Na het bijwerken: voer database‑updates uit, wis caches en controleer logbestanden op vreemde query’s of fouten.
• Kun je (nog) niet upgraden? Pas dan de door Drupal aangeboden patch toe voor jouw 8.9‑ of 9.x‑versie als tijdelijke maatregel, en plan alsnog een upgrade. Let op: oudere takken blijven verder wel onveilig voor andere, oudere issues. (drupal.org)

Waarom dit zo serieus is
De kwetsbaarheid zit in de laag die normaal juist SQL‑injectie moet voorkomen. Daardoor kan een anonieme aanvaller met slim gevormde verzoeken de database manipuleren. Het Drupal Security Team beoordeelt de ernst als “Highly critical” (20/25). In het verleden leidde een vergelijkbare SQL‑injectie in Drupal tot grootschalige incidenten—dit is dus zo’n moment om snel te patchen. (drupal.org)

Snelle checklist

• Draait je site op PostgreSQL? Ja → onmiddellijk updaten naar 10.4.10/10.5.10/10.6.9/11.1.10/11.2.12/11.3.10. (drupal.org)
• Geen PostgreSQL? Updaten blijft dringend vanwege de Symfony‑ en Twig‑beveiligingsfixes. (drupal.org)
• Gebruik je nog 8.9 of 9.x? Pas de beschikbare patch toe en plan migratie. (drupal.org)

Kortom: update vandaag nog. Zo voorkom je dat kwaadwillenden jouw site misbruiken en profiteer je meteen van de extra beveiliging in de onderliggende componenten. (drupal.org)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.