Drupal-Schwachstelle CVE-2026-9082: 15.000 Attacken auf 6.000 Seiten

Mehrere schwerwiegende Schwachstellen in Content-Management-Systemen setzen Unternehmen und Behörden unter Zugzwang.

Sicherheitsforscher und US-Behörden haben eine Reihe kritischer Lücken in Drupal, Ghost CMS und Microsoft SharePoint aufgedeckt. Einige werden bereits aktiv ausgenutzt. Die US-Cybersicherheitsbehörde CISA hat für Bundesbehörden eine sofortige Patchpflicht verhängt. Betroffen sind nicht nur amerikanische, sondern auch europäische und deutsche Institutionen.

Während Behörden Patches vorschreiben, nehmen Cyberkriminelle gezielt kleine und mittelständische Unternehmen ins Visier. Wie Sie aktuelle Bedrohungen frühzeitig erkennen und Ihre Firma auch ohne riesiges IT-Budget absichern, erfahren Sie in diesem kostenlosen E-Book. Gratis Cyber-Security-Guide für Unternehmen herunterladen

Drupal-Lücke zwingt zum Handeln

Die schwerwiegendste Bedrohung geht von der Schwachstelle CVE-2026-9082 im Drupal-Core aus. Mit einem CVSS-Wert von 9,8 (maximal 10) gilt sie als extrem kritisch. Betroffen sind Websites, die PostgreSQL als Datenbank nutzen. Angreifer können ohne Authentifizierung SQL-Injection-Angriffe durchführen – mit potenziell verheerenden Folgen: Datenklau, Rechteausweitung und die Ausführung von Schadcode aus der Ferne.

CISA hat die Lücke am 25. Mai in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. US-Bundesbehörden müssen bis zum 27. Mai patchen. Entdeckt wurde das Problem von Sicherheitsforschern bei Google Mandiant.

Das Ausmaß der Angriffe ist enorm. Der Sicherheitsdienstleister Imperva registrierte über 15.000 Angriffsversuche auf rund 6.000 Websites in 65 Ländern. Besonders betroffen: die Gaming- und Finanzdienstleistungsbranche – auf sie entfällt die Hälfte aller Attacken. In Europa gerieten unter anderem Universitätsnetze, lokale Regierungsportale und offizielle Staatswebsites in Frankreich ins Visier.

Laut Daten von Shadowserver waren Ende Mai mindestens 670 Installationen noch ungepatcht. Die Verteilung ist fast gleichmäßig: Nordamerika meldet 272, Europa 273 verwundbare Instanzen. Drupal-Entwickler haben Patches für alle unterstützten Versionen veröffentlicht – darunter 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 und 11.3.10. Sogar für die eingestellten Versionen 8.9 und 9.5 gab es Updates.

Ghost CMS: Über 700 Websites kompromittiert

Während Drupal-Administratoren um die SQL-Injection kämpfen, hat eine andere Angriffswelle das Ghost CMS erfasst. Die Schwachstelle CVE-2026-26980 (CVSS 9,4) betrifft Versionen von 3.24.0 bis 6.19.0. Auch hier ermöglicht eine unauthentifizierte SQL-Injection den Diebstahl administrativer API-Schlüssel.

Seit dem 7. Mai 2026 läuft eine Kampagne, die diese Lücke ausnutzt. Die Angreifer injizieren bösartigen JavaScript-Code in kompromittierte Seiten. Der löst einen gefälschten Cloudflare-Verifizierungsdialog aus – eine sogenannte ClickFix-Attacke. Klickt der Nutzer darauf, führt sein System PowerShell-Befehle aus. Das öffnet die Tür für weitere Schadsoftware.

Zu den betroffenen Hochkarätern zählen die Harvard University, die Oxford University und die suchmaschine DuckDuckGo. Ein Patch steht seit dem 19. Februar bereit – doch many Organisationen haben ihn nicht installiert.

Neben technischen Lücken nutzen Hacker immer häufiger psychologische Manipulationstaktiken, um Schadsoftware in Unternehmensnetze einzuschleusen. Dieser kostenlose Report zeigt Ihnen, wie Sie Ihr Unternehmen in 4 Schritten effektiv gegen moderne Phishing-Angriffe schützen. Kostenloses Anti-Phishing-Paket jetzt sichern

SharePoint und Lernplattformen im Visier

Auch Microsoft musste im Mai 2026 handeln. Die Schwachstelle CVE-2026-45659 im SharePoint Server (CVSS 8,8) beruht auf einem Deserialisierungsfehler. Angreifer mit einfachen Seitenmitgliedsrechten können damit Schadcode auf dem Server ausführen. Betroffen sind die Subscription Edition sowie die Versionen 2019 und 2016. Microsoft hat spezifische Knowledge-Base-Updates veröffentlicht. Aktiv ausgenutzt wird die Lücke nach bisherigen Erkenntnissen nicht.

Ein besonderer Fall ist das Digital Knowledge KnowledgeDeliver Learning Management System. Hier entdeckten Mandiant-Forscher eine Zero-Day-Lücke (CVE-2026-5426). Hartcodierte ASP.NET-MachineKeys ermöglichen eine nicht authentifizierte Remote-Code-Ausführung. Angreifer installieren darüber die Godzilla-Webshell (auch BLUEBEAM genannt) sowie Cobalt-Strike-Beacons. Systeme, die vor dem 24. Februar 2026 eingerichtet wurden, gelten als besonders gefährdet.

NGINX: Weitere Baustelle für Infrastruktur-Teams

Nicht nur die Anwendungsebene ist betroffen. In NGINX Open Source (Versionen 1.30.2 und 1.31.1) sowie NGINX Plus klafft die Lücke CVE-2026-9256. Der Fehler im Rewrite-Modul führt zu Speicherkorruption. Zwar sind bislang keine aktiven Angriffe bekannt – doch das Potenzial für Denial-of-Service oder Remote-Code-Ausführung macht die Schwachstelle zu einem ernsten Thema für Infrastruktur-Teams.

Die neue Dynamik der Bedrohung

Sicherheitsexperten beobachten eine alarmierende Beschleunigung: Zwischen der Entdeckung der Drupal-Lücke und den ersten automatisierten Massenangriffen verging nur ein sehr kurzes Zeitfenster. Die Kombination aus technischen Exploits und Social Engineering – wie bei den ClickFix-Angriffen auf Ghost CMS – macht die Bedrohungslage besonders gefährlich.

Für Unternehmen und Behörden in Deutschland und Europa bedeutet das: Der Druck steigt. Die gezielte Angriffe auf Gaming und Finanzsektor zeigen, dass Angreifer dort zuschlagen, wo wertvolle Nutzerdaten und hohe Transaktionsvolumen locken. Organisationen, die PostgreSQL mit Drupal einsetzen, sollten ihren Patch-Status umgehend prüfen. Die Zeit zum Handeln wird knapp.

de | wirtschaft | 69426015 |