<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Drupal</title>
    <link>https://feed.xonatec.ch/produkte/drupal</link>
    <description>Priorisierte Schwachstellen-Reports für Drupal. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/drupal.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2026-9082 — Drupal Core: SQL Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9082</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9082</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Drupal-Kern besteht eine SQL-Injection-Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in SQL-Befehlen. Betroffen sind laut Quelldaten die Versionen ab 8.9.0 vor 10.4.1. CVSS-Basiswert: 9.8 (Kritisch). Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-05-22. Ausnutzungswahrscheinlichkeit (EPSS): 10.4 %. Empfohlene Massnahme: Drupal Core auf eine Version ausserhalb des betroffenen Bereichs aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 10.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: drupal</description>
      <category>Kritisch</category><category>KEV</category><category>Drupal</category>
    </item>
    <item>
      <title>🔴 CVE-2018-7600 — Drupal Core: Remote Code Execution (Drupalgeddon 2)</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-7600</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-7600</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine kritische Remote-Code-Execution-Schwachstelle im Drupal-Kern ermöglicht nicht authentifizierten Angreifern, beliebigen Code auf dem Server auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

Severity: Aktiv ausgenutzt · EPSS: 94.5% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: drupal</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Drupal</category>
    </item>
    <item>
      <title>🔴 CVE-2019-6340 — Drupal Core: Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-6340</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-6340</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine Remote-Code-Execution-Schwachstelle im Drupal-Kern erlaubt Angreifern, beliebigen Code auf betroffenen Servern auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: drupal</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Drupal</category>
    </item>
    <item>
      <title>🔴 CVE-2018-7602 — Drupal Core: Remote Code Execution (Drupalgeddon 3)</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-7602</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-7602</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine weitere Remote-Code-Execution-Schwachstelle im Drupal-Kern ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: drupal</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Drupal</category>
    </item>
    <item>
      <title>🔴 CVE-2020-13671 — Drupal Core: Unrestricted File Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-13671</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-13671</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle im Drupal-Kern erlaubt das uneingeschränkte Hochladen von Dateien ohne ausreichende Validierung, was zur Ausführung von Schadcode führen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.5 %.

Severity: Aktiv ausgenutzt · EPSS: 4.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: drupal</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Drupal</category>
    </item>
    <item>
      <title>CVE-2026-15089 — Drupal Commerce: Schwachstelle in der Gastregistrierung (guest registration)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15089</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15089</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Gastregistrierung von Drupal Commerce besteht eine Schwachstelle. Die Quellbeschreibung der NVD enthält keine näheren technischen Angaben zur Art der Ausnutzung oder zu den konkret betroffenen Versionen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: drupal, magento-adobe-commerce</description>
      <category>Kritisch</category><category>Drupal</category><category>Magento/Adobe Commerce</category>
    </item>
    <item>
      <title>CVE-2026-12535 — Drupal Formatter Field: Object Injection über dynamisch bestimmte Objektattribute</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12535</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12535</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Drupal-Modul Formatter Field werden dynamisch bestimmte Objektattribute unzureichend kontrolliert verändert, was Object Injection ermöglicht. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Die betroffenen Modulversionen sind dem NVD-Eintrag zu entnehmen.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: drupal</description>
      <category>Kritisch</category><category>Drupal</category>
    </item>
    <item>
      <title>CVE-2026-9726 — Object Injection im Drupal-Modul AlternativeCommerce (Basket)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9726</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9726</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Drupal-Modul AlternativeCommerce (Basket) besteht eine Schwachstelle durch unzureichend kontrollierte Änderung dynamisch bestimmter Objektattribute, die eine Object Injection ermöglicht. Ein Angreifer kann dadurch manipulierte Objekte einschleusen und die Anwendungslogik unterlaufen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Aktualisierungen des betroffenen Moduls einspielen.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: drupal</description>
      <category>Kritisch</category><category>Drupal</category>
    </item>
    <item>
      <title>CVE-2026-11913 — Drupal-Modul „Mother May I&quot;: Schwachstelle in allen Versionen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11913</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11913</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Für das Drupal-Modul „Mother May I&quot; wurde eine Schwachstelle gemeldet. Die NVD-Quellbeschreibung nennt keine näheren technischen Details; betroffen sind laut Eintrag alle Versionen. Der CVSS-Vektor weist die Lücke als ohne Authentifizierung über das Netzwerk ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: drupal</description>
      <category>Kritisch</category><category>Drupal</category>
    </item>
    <item>
      <title>CVE-2026-10768 — Drupal LocalGov Workflows: Fehlende Autorisierung erlaubt Forceful Browsing</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10768</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10768</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Drupal-Modul LocalGov Workflows besteht eine Schwachstelle durch fehlende Autorisierung (Missing Authorization), die es Angreifern per Forceful Browsing erlaubt, auf eigentlich geschützte Ressourcen zuzugreifen. Betroffen sind die Versionen 0.0.0 bis einschliesslich 1.6.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: drupal</description>
      <category>Kritisch</category><category>Drupal</category>
    </item>
    <item>
      <title>CVE-2026-10770 — Drupal Anti-Spam by CleanTalk: Reflektiertes Cross-Site-Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10770</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10770</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Drupal-Modul Anti-Spam by CleanTalk besteht eine reflektierte Cross-Site-Scripting-Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das betroffene Modul auf eine bereinigte Version aktualisieren.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.2%

Betroffene Produkte: drupal</description>
      <category>Mittel</category><category>Drupal</category>
    </item>
    <item>
      <title>CVE-2026-10769 — Drupal Commerce Core – Gespeichertes Cross-Site-Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10769</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10769</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Drupal Commerce Core besteht eine Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Seitengenerierung, die gespeichertes Cross-Site-Scripting (Stored XSS) ermöglicht. Betroffen sind Commerce-Core-Versionen ab 3.3.0. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten auf eine bereinigte Version aktualisieren.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.2%

Betroffene Produkte: drupal, magento-adobe-commerce</description>
      <category>Mittel</category><category>Drupal</category><category>Magento/Adobe Commerce</category>
    </item>
    <item>
      <title>CVE-2026-11908 — Drupal Tagify: Stored Cross-Site-Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11908</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11908</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Drupal-Modul Tagify besteht eine Schwachstelle durch unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten, die ein Stored Cross-Site-Scripting (XSS) ermöglicht. Betroffen sind die Versionen 0.0.0 bis einschliesslich 1.2.52. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.2%

Betroffene Produkte: drupal</description>
      <category>Mittel</category><category>Drupal</category>
    </item>
  </channel>
</rss>
