Eine SQL-Injection im Datenbank-Layer von Drupal Core erlaubt anonymen Angreifern Lese- und Schreibzugriff auf alle Anwendungsdaten. Das Drupal Security Team stuft CVE-2026-9082 mit 23 von 25 Punkten als hochkritisch ein und meldet aktive Angriffe. Updates gibt es für alle gepflegten Zweige.