1.8 Aktiv ausgenutzte Lücken
CMS & Web-Ecosystems

Drupal

CMS & Web-Ecosystems

Drupal gehört zur Kategorie „CMS & Web-Ecosystems". xonatec überwacht Drupal kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) und liefert verdichtete, handlungsorientierte Reports – direkt per E-Mail, Webhook oder API.

13
Reports
5
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.5%
Max. EPSS

Schwachstellen-Reports

13 Reports

Zeige 1 bis 13 von 13

  1. Drupal Core: SQL Injection

    CVE-2026-9082 Kritisch Aktiv ausgenutzt

    Im Drupal-Kern besteht eine SQL-Injection-Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in SQL-Befehlen. Betroffen sind laut Quelldaten die Versionen ab 8.9.0 vor 10.4.1. CVSS-Basiswert: 9.8 (Kritisch). Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-05-22. Ausnutzungswahrscheinlichkeit (EPSS): 10.4 %. Empfohlene Massnahme: Drupal Core auf eine Version ausserhalb des betroffenen Bereichs aktualisieren.

    CVSS: 9.8 EPSS: 10.40% Publiziert: Referenz: CISA KEV
  2. Drupal Core: Remote Code Execution (Drupalgeddon 2)

    CVE-2018-7600 Aktiv ausgenutzt Ransomware

    Eine kritische Remote-Code-Execution-Schwachstelle im Drupal-Kern ermöglicht nicht authentifizierten Angreifern, beliebigen Code auf dem Server auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

    EPSS: 94.49% Publiziert: Referenz: CISA KEV
  3. Drupal Core: Remote Code Execution

    CVE-2019-6340 Aktiv ausgenutzt

    Eine Remote-Code-Execution-Schwachstelle im Drupal-Kern erlaubt Angreifern, beliebigen Code auf betroffenen Servern auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.41% Publiziert: Referenz: CISA KEV
  4. Drupal Core: Remote Code Execution (Drupalgeddon 3)

    CVE-2018-7602 Aktiv ausgenutzt Ransomware

    Eine weitere Remote-Code-Execution-Schwachstelle im Drupal-Kern ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.38% Publiziert: Referenz: CISA KEV
  5. Drupal Core: Unrestricted File Upload

    CVE-2020-13671 Aktiv ausgenutzt

    Eine Schwachstelle im Drupal-Kern erlaubt das uneingeschränkte Hochladen von Dateien ohne ausreichende Validierung, was zur Ausführung von Schadcode führen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.5 %.

    EPSS: 4.50% Publiziert: Referenz: CISA KEV
  6. Drupal Commerce: Schwachstelle in der Gastregistrierung (guest registration)

    CVE-2026-15089 Kritisch

    In der Gastregistrierung von Drupal Commerce besteht eine Schwachstelle. Die Quellbeschreibung der NVD enthält keine näheren technischen Angaben zur Art der Ausnutzung oder zu den konkret betroffenen Versionen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.1 EPSS: 0.24% Publiziert: Referenz: NVD
  7. Drupal Formatter Field: Object Injection über dynamisch bestimmte Objektattribute

    CVE-2026-12535 Kritisch

    Im Drupal-Modul Formatter Field werden dynamisch bestimmte Objektattribute unzureichend kontrolliert verändert, was Object Injection ermöglicht. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Die betroffenen Modulversionen sind dem NVD-Eintrag zu entnehmen.

    CVSS: 9.8 EPSS: 0.17% Publiziert: Referenz: NVD
  8. Object Injection im Drupal-Modul AlternativeCommerce (Basket)

    CVE-2026-9726 Kritisch

    Im Drupal-Modul AlternativeCommerce (Basket) besteht eine Schwachstelle durch unzureichend kontrollierte Änderung dynamisch bestimmter Objektattribute, die eine Object Injection ermöglicht. Ein Angreifer kann dadurch manipulierte Objekte einschleusen und die Anwendungslogik unterlaufen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Aktualisierungen des betroffenen Moduls einspielen.

    CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD
  9. Drupal-Modul „Mother May I": Schwachstelle in allen Versionen

    CVE-2026-11913 Kritisch

    Für das Drupal-Modul „Mother May I" wurde eine Schwachstelle gemeldet. Die NVD-Quellbeschreibung nennt keine näheren technischen Details; betroffen sind laut Eintrag alle Versionen. Der CVSS-Vektor weist die Lücke als ohne Authentifizierung über das Netzwerk ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.8 EPSS: 0.15% Publiziert: Referenz: NVD
  10. Drupal LocalGov Workflows: Fehlende Autorisierung erlaubt Forceful Browsing

    CVE-2026-10768 Kritisch

    Im Drupal-Modul LocalGov Workflows besteht eine Schwachstelle durch fehlende Autorisierung (Missing Authorization), die es Angreifern per Forceful Browsing erlaubt, auf eigentlich geschützte Ressourcen zuzugreifen. Betroffen sind die Versionen 0.0.0 bis einschliesslich 1.6.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

    CVSS: 9.8 EPSS: 0.14% Publiziert: Referenz: NVD
  11. Drupal Anti-Spam by CleanTalk: Reflektiertes Cross-Site-Scripting

    CVE-2026-10770 Mittel

    Im Drupal-Modul Anti-Spam by CleanTalk besteht eine reflektierte Cross-Site-Scripting-Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das betroffene Modul auf eine bereinigte Version aktualisieren.

    CVSS: 6.1 EPSS: 0.16% Publiziert: Referenz: NVD
  12. Drupal Commerce Core – Gespeichertes Cross-Site-Scripting (XSS)

    CVE-2026-10769 Mittel

    In Drupal Commerce Core besteht eine Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Seitengenerierung, die gespeichertes Cross-Site-Scripting (Stored XSS) ermöglicht. Betroffen sind Commerce-Core-Versionen ab 3.3.0. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten auf eine bereinigte Version aktualisieren.

    CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD
  13. Drupal Tagify: Stored Cross-Site-Scripting (XSS)

    CVE-2026-11908 Mittel

    Im Drupal-Modul Tagify besteht eine Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten, die ein Stored Cross-Site-Scripting (XSS) ermöglicht. Betroffen sind die Versionen 0.0.0 bis einschliesslich 1.2.52. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

    CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Drupal, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog