El Equipo de Seguridad de Drupal publicó hoy el advisory SA-CORE-2026-004, confirmando una vulnerabilidad de inyección SQL en la API de abstracción de base de datos del núcleo de Drupal. Esta es la vulnerabilidad anunciada preventivamente hace dos días mediante PSA-2026-05-18.
La falla permite que un atacante envíe peticiones especialmente diseñadas para ejecutar SQL arbitrario contra la base de datos del sitio, con consecuencias que van desde la exposición de datos sensibles hasta la escalada de privilegios y ejecución remota de código.
Perfil de riesgo
| Dimensión | Valor | Implicancia práctica |
|---|---|---|
| Complejidad de acceso | Ninguna | Sin condiciones previas |
| Autenticación | Ninguna | Explotable por usuarios anónimos |
| Impacto en Confidencialidad | Total | Toda la base de datos expuesta |
| Impacto en Integridad | Total | Datos modificables o eliminables |
| Estado del exploit | Teórico | Sin exploit público conocido aún |
| Distribución objetivo | No común | Solo sitios con PostgreSQL |
⚠️ Punto crítico para CISOs: La ventana entre publicación del advisory y aparición de exploits funcionales puede ser de horas. El historial de Drupalgeddon (2014) así lo demuestra.
¿A quién afecta?
La vulnerabilidad SQL Injection afecta exclusivamente a sitios que utilizan PostgreSQL como motor de base de datos. Los sitios sobre MySQL/MariaDB no son vulnerables a este vector específico.
Sin embargo, todas las instalaciones de Drupal deben actualizar igualmente, ya que esta release incluye parches de seguridad críticos para dependencias upstream (Symfony y Twig) que pueden afectar a cualquier configuración.
Versiones vulnerables
| Rama | Versiones afectadas | Versión segura |
|---|---|---|
| Drupal 11.3.x | 11.3.10 | |
| Drupal 11.2.x | 11.2.12 | |
| Drupal 11.1.x / 11.0.x | 11.1.10 (EOL — best effort) | |
| Drupal 10.6.x | 10.6.9 | |
| Drupal 10.5.x | 10.5.10 | |
| Drupal 10.4.x o anterior | 10.4.10 (EOL — best effort) | |
| Drupal 9.x | EOL | Parche manual disponible |
| Drupal 8.9 | EOL | Parche manual disponible |
| Drupal 7 | No afectado | — |
Vector adicional: Symfony y Twig
Este punto merece atención especial para los equipos técnicos. Las versiones de las ramas soportadas (10.5, 10.6, 11.2, 11.3) incluyen actualizaciones de seguridad para Symfony y Twig, coordinadas con este release. Dependiendo de la configuración del sitio y los módulos contrib instalados, el sitio puede ser vulnerable a una o más de estas vulnerabilidades upstream independientemente de si usa PostgreSQL o no.
Se recomienda adicionalmente auditar qué roles de usuario tienen permisos para editar templates Twig, por ejemplo a través del módulo Views u otros módulos contrib.
Plan de acción inmediata
Para sitios en versiones soportadas (10.5, 10.6, 11.2, 11.3) — Prioridad P1:
Comando: composer update drupal/core
Actualizar a la versión segura correspondiente de forma inmediata.
Para sitios en versiones EOL (8, 9, 10.4, 11.0, 11.1):
Aplicar el parche manual disponible en drupal.org y planificar migración urgente a una rama soportada. Recordar que estas versiones acumulan otras vulnerabilidades previamente divulgadas que no serán corregidas.
Para todos los sitios, con independencia del motor de base de datos:
Actualizar igualmente para recibir los parches de Symfony y Twig incluidos en este release.
Revisión de permisos:
Auditar roles con capacidad de editar templates Twig en el sitio.
Contexto: ¿Por qué SQL Injection en Drupal es siempre una alarma máxima?
En 2014, la vulnerabilidad Drupalgeddon (SA-CORE-2014-005) fue una inyección SQL de perfil similar. Los exploits aparecieron en cuestión de horas y se automatizaron rápidamente. Miles de sitios sin parchear en las primeras 7 horas fueron comprometidos de forma masiva y silenciosa. Este antecedente obliga a tratar SA-CORE-2026-004 como una emergencia operativa, no como una actualización rutinaria de mantenimiento.
Fuente: Drupal — Equipo de Seguridad de Drupal.
CVE: CVE-2026-9082