Drupal
Drupal gehört zur Kategorie „CMS & Web-Ecosystems". xonatec überwacht Drupal kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) und liefert verdichtete, handlungsorientierte Reports – direkt per E-Mail, Webhook oder API.
Schwachstellen-Reports
13 ReportsZeige 1 bis 13 von 13
-
Drupal Core: SQL Injection
CVE-2026-9082 Kritisch Aktiv ausgenutztIm Drupal-Kern besteht eine SQL-Injection-Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in SQL-Befehlen. Betroffen sind laut Quelldaten die Versionen ab 8.9.0 vor 10.4.1. CVSS-Basiswert: 9.8 (Kritisch). Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-05-22. Ausnutzungswahrscheinlichkeit (EPSS): 10.4 %. Empfohlene Massnahme: Drupal Core auf eine Version ausserhalb des betroffenen Bereichs aktualisieren.
CVSS: 9.8 EPSS: 10.40% Publiziert: Referenz: CISA KEV -
Drupal Core: Remote Code Execution (Drupalgeddon 2)
CVE-2018-7600 Aktiv ausgenutzt RansomwareEine kritische Remote-Code-Execution-Schwachstelle im Drupal-Kern ermöglicht nicht authentifizierten Angreifern, beliebigen Code auf dem Server auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.
EPSS: 94.49% Publiziert: Referenz: CISA KEV -
Drupal Core: Remote Code Execution
CVE-2019-6340 Aktiv ausgenutztEine Remote-Code-Execution-Schwachstelle im Drupal-Kern erlaubt Angreifern, beliebigen Code auf betroffenen Servern auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.41% Publiziert: Referenz: CISA KEV -
Drupal Core: Remote Code Execution (Drupalgeddon 3)
CVE-2018-7602 Aktiv ausgenutzt RansomwareEine weitere Remote-Code-Execution-Schwachstelle im Drupal-Kern ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.38% Publiziert: Referenz: CISA KEV -
Drupal Core: Unrestricted File Upload
CVE-2020-13671 Aktiv ausgenutztEine Schwachstelle im Drupal-Kern erlaubt das uneingeschränkte Hochladen von Dateien ohne ausreichende Validierung, was zur Ausführung von Schadcode führen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.5 %.
EPSS: 4.50% Publiziert: Referenz: CISA KEV -
Drupal Commerce: Schwachstelle in der Gastregistrierung (guest registration)
CVE-2026-15089 KritischIn der Gastregistrierung von Drupal Commerce besteht eine Schwachstelle. Die Quellbeschreibung der NVD enthält keine näheren technischen Angaben zur Art der Ausnutzung oder zu den konkret betroffenen Versionen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.24% Publiziert: Referenz: NVD -
Drupal Formatter Field: Object Injection über dynamisch bestimmte Objektattribute
CVE-2026-12535 KritischIm Drupal-Modul Formatter Field werden dynamisch bestimmte Objektattribute unzureichend kontrolliert verändert, was Object Injection ermöglicht. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Die betroffenen Modulversionen sind dem NVD-Eintrag zu entnehmen.
CVSS: 9.8 EPSS: 0.17% Publiziert: Referenz: NVD -
Object Injection im Drupal-Modul AlternativeCommerce (Basket)
CVE-2026-9726 KritischIm Drupal-Modul AlternativeCommerce (Basket) besteht eine Schwachstelle durch unzureichend kontrollierte Änderung dynamisch bestimmter Objektattribute, die eine Object Injection ermöglicht. Ein Angreifer kann dadurch manipulierte Objekte einschleusen und die Anwendungslogik unterlaufen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Aktualisierungen des betroffenen Moduls einspielen.
CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD -
Drupal-Modul „Mother May I": Schwachstelle in allen Versionen
CVE-2026-11913 KritischFür das Drupal-Modul „Mother May I" wurde eine Schwachstelle gemeldet. Die NVD-Quellbeschreibung nennt keine näheren technischen Details; betroffen sind laut Eintrag alle Versionen. Der CVSS-Vektor weist die Lücke als ohne Authentifizierung über das Netzwerk ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.15% Publiziert: Referenz: NVD -
Drupal LocalGov Workflows: Fehlende Autorisierung erlaubt Forceful Browsing
CVE-2026-10768 KritischIm Drupal-Modul LocalGov Workflows besteht eine Schwachstelle durch fehlende Autorisierung (Missing Authorization), die es Angreifern per Forceful Browsing erlaubt, auf eigentlich geschützte Ressourcen zuzugreifen. Betroffen sind die Versionen 0.0.0 bis einschliesslich 1.6.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.
CVSS: 9.8 EPSS: 0.14% Publiziert: Referenz: NVD -
Drupal Anti-Spam by CleanTalk: Reflektiertes Cross-Site-Scripting
CVE-2026-10770 MittelIm Drupal-Modul Anti-Spam by CleanTalk besteht eine reflektierte Cross-Site-Scripting-Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das betroffene Modul auf eine bereinigte Version aktualisieren.
CVSS: 6.1 EPSS: 0.16% Publiziert: Referenz: NVD -
Drupal Commerce Core – Gespeichertes Cross-Site-Scripting (XSS)
CVE-2026-10769 MittelIn Drupal Commerce Core besteht eine Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Seitengenerierung, die gespeichertes Cross-Site-Scripting (Stored XSS) ermöglicht. Betroffen sind Commerce-Core-Versionen ab 3.3.0. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten auf eine bereinigte Version aktualisieren.
CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD -
Drupal Tagify: Stored Cross-Site-Scripting (XSS)
CVE-2026-11908 MittelIm Drupal-Modul Tagify besteht eine Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten, die ein Stored Cross-Site-Scripting (XSS) ermöglicht. Betroffen sind die Versionen 0.0.0 bis einschliesslich 1.2.52. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.
CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Drupal, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.