Drupal-Module: Kritische Lücke zur Codeausführung (CVE-2026-9726) und Informationsleck (CVE-2026-10768)
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Ende Mai und Anfang Juni 2026 veröffentlichte das Drupal-Sicherheitsteam zwei Security Advisories für weit verbreitete Contributed Modules. Die Schwachstellen betreffen die Module AlternativeCommerce (Basket) und LocalGov Workflows. Eine der Lücken, CVE-2026-9726, wird als hochkritisch eingestuft und ermöglicht die Ausführung von beliebigem Code. Für beide Schwachstellen stehen Sicherheitsupdates zur Verfügung, deren Installation für Betreiber von Drupal-Instanzen hohe Priorität hat.
Moderate Schwachstelle: CVE-2026-10768 in drupal/localgov_workflows
Risiko: Information Disclosure (Drupal Risk Score: 14/25)
Betroffene Versionen: Alle vor 1.6.0
Behoben in: Version 1.6.0
Technischer Befund: Von Codeausführung bis Datenleck
Die beiden Schwachstellen unterscheiden sich erheblich in ihrer technischen Natur und ihrem potenziellen Schaden.
CVE-2026-9726: PHP Object Injection im Basket-Modul
Die als hochkritisch eingestufte Lücke im Modul AlternativeCommerce (Basket) resultiert aus einer unzureichenden Validierung von serialisierten Daten, die von Nutzern stammen. Bevor diese Daten an die PHP-Funktion unserialize() weitergegeben werden, findet keine ausreichende Bereinigung statt. Dies ermöglicht einen Angriff mittels PHP Object Injection. Ein Angreifer kann speziell präparierte Daten an das System senden, um bei Vorhandensein einer geeigneten Gadget-Chain im Code beliebigen PHP-Code auf dem Server auszuführen. Dies kann zur vollständigen Kompromittierung des Systems führen. Das Advisory SA-CONTRIB-2026-038 wurde am 27. Mai 2026 veröffentlicht und von Drew Webber (mcdruid) sowie Helena Zajika behoben; gemeldet wurde die Schwachstelle ebenfalls von Drew Webber (mcdruid).
Das Drupal-Sicherheitsteam bewertet dieses Risiko mit 22 von 25 Punkten. Der Bewertungsvektor (AC:None/A:None/CI:All/II:All/E:Theoretical/TD:All) verdeutlicht die Gefahr: Der Angriff erfordert keine besondere Vorbereitung oder Authentifizierung und kann die Vertraulichkeit und Integrität der gesamten Anwendung gefährden.
CVE-2026-10768: Informationsleck in LocalGov Workflows
Die zweite Schwachstelle im Modul LocalGov Workflows wird mit 14 von 25 Punkten als moderat kritisch bewertet. Es handelt sich um eine unzureichende Zugriffskontrolle auf eine View, die Service-Kontakte anzeigt. Unbefugte können dadurch Namen von Kontakten und die ihnen zugeordneten Inhalte einsehen. Obwohl diese Schwachstelle keine direkte Codeausführung erlaubt, können die offengelegten Informationen für Social-Engineering-Angriffe oder zur Vorbereitung komplexerer Angriffe missbraucht werden. Das Advisory SA-CONTRIB-2026-039 wurde am 3. Juni 2026 veröffentlicht; gemeldet von Maria Young (maria.y), behoben von Finn Lewis und Rupert Jabelman, koordiniert durch Greg Knaddison (greggles) vom Drupal Security Team.
Handlungsbedarf: Patchen und Prüfen
Für beide Schwachstellen ist die empfohlene Maßnahme die umgehende Installation der bereitgestellten Sicherheitsupdates. Beide Advisories weisen den Exploitability-Parameter E:Theoretical aus — aktive Ausnutzung ist bislang nicht bekannt, jedoch erhöht die öffentliche Bekanntmachung der technischen Details das theoretische Angriffsrisiko.
AlternativeCommerce (Basket): Betreiber müssen auf Version 2.1.17 oder neuer aktualisieren. Falls ein sofortiges Update nicht möglich ist, sollte das Modul temporär deaktiviert werden, um das Angriffsrisiko zu minimieren.
LocalGov Workflows: Ein Upgrade auf Version 1.6.0 oder neuer schließt das Informationsleck.
Unternehmen sollten diesen Vorfall zum Anlass nehmen, eine vollständige Inventur aller eingesetzten Drupal-Module durchzuführen und den Patch-Management-Prozess zu überprüfen.
DACH- und EU-Kontext
Für Betreiber in Deutschland, Österreich und der Schweiz sind zwei regulatorische Aspekte besonders relevant. Erstens kann die durch CVE-2026-10768 ermöglichte Offenlegung von Namen und zugeordneten Inhalten personenbezogene Daten betreffen. In diesem Fall greift die Meldepflicht nach Art. 33 DSGVO: Verantwortliche müssen einen Datenschutzverstoß innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Zweitens sind Betreiber kritischer Infrastrukturen sowie öffentliche Stellen, die unter die NIS-2-Richtlinie fallen, verpflichtet, ein aktives Patch-Management für eingesetzte Softwarekomponenten nachzuweisen — die zügige Behebung von CVE-2026-9726 und CVE-2026-10768 ist damit nicht nur technisch, sondern auch compliance-rechtlich geboten. Das BSI empfiehlt generell, verfügbare Sicherheitsupdates für exponierte Webanwendungen ohne unnötige Verzögerung einzuspielen.
Sichtbarkeit und Kontrolle mit EASM und C-SRM
Die Verwaltung von Systemen wie Drupal zeigt zwei zentrale Herausforderungen der modernen IT-Sicherheit: die Kontrolle über die eigene, extern erreichbare Infrastruktur und das Management von Risiken in der Lieferkette.
Externe Angriffsflächen verstehen (EASM): Drupal-Instanzen, insbesondere solche mit einer Vielzahl von Contrib-Modulen, können schnell zu einem unübersichtlichen Teil der externen Angriffsfläche werden. Gerade Schatten-IT, vergessene Subdomains oder nicht inventarisierte Cloud-Assets — etwa Staging-Umgebungen, die öffentlich erreichbar geblieben sind — entziehen sich oft dem zentralen Patch-Management. Eine External Attack Surface Management (EASM) Plattform wie LocateRisk identifiziert kontinuierlich alle öffentlich erreichbaren Systeme eines Unternehmens, einschließlich Webanwendungen. So lässt sich feststellen, wo Drupal eingesetzt wird und ob potenziell verwundbare Komponenten exponiert sind. Dies schafft die notwendige Transparenz, um Patches gezielt und vollständig auszurollen.
Risiken der Lieferkette managen (C-SRM): Oft werden Webseiten von externen Dienstleistern wie Marketing- oder Webagenturen betrieben. Ist deren Drupal-Instanz von CVE-2026-9726 betroffen, stellt dies ein direktes Risiko für Ihr Unternehmen dar. Continuous Supply Chain Risk Management (C-SRM) bewertet automatisiert und fortlaufend die Sicherheit Ihrer Lieferanten. Sinkt die Sicherheitsbewertung eines Partners aufgrund einer kritischen, ungepatchten Schwachstelle, erhalten Sie eine Warnung und können proaktiv Maßnahmen einfordern. Dies unterstützt die Erfüllung von Compliance-Anforderungen wie NIS-2 oder ISO 27001, die ein aktives Management von Lieferkettenrisiken vorschreiben.
Die Lösung von LocateRisk bietet eine Plattform „Made in Germany“, die in zertifizierten deutschen Rechenzentren gehostet wird, bei der Einhaltung der DSGVO-Anforderungen unterstützt und das Risiko einer US-Cloud-Act-Exposition erheblich reduziert.
PHP Object Injection entsteht, wenn eine Anwendung vom Nutzer gelieferte Daten ohne ausreichende Bereinigung an die PHP-Funktion unserialize() übergibt. Ein Angreifer kann dabei speziell präparierte Objekte einschleusen. Existiert im Anwendungscode eine geeignete Gadget-Chain, kann dies zur Ausführung beliebigen PHP-Codes auf dem Server führen — im schlimmsten Fall zur vollständigen Kompromittierung der Drupal-Instanz (Drupal Risk Score 22/25, AC:None/A:None).
CVE-2026-9726 betrifft alle Versionen des Moduls drupal/basket (AlternativeCommerce) vor 2.1.17; die behobene Version ist 2.1.17. CVE-2026-10768 betrifft alle Versionen von drupal/localgov_workflows vor 1.6.0; die behobene Version ist 1.6.0. Beide Sicherheitsupdates stehen auf drupal.org zum Download bereit.
Für das Basket-Modul ist ein sofortiges Upgrade auf Version 2.1.17 oder neuer erforderlich. Falls ein Update kurzfristig nicht möglich ist, empfiehlt das Drupal-Sicherheitsteam, das Modul temporär zu deaktivieren, um das Angriffsrisiko zu minimieren. Für LocalGov Workflows genügt ein Upgrade auf Version 1.6.0 oder neuer. Darüber hinaus sollten Betreiber alle installierten Contrib-Module inventarisieren und ihren Patch-Management-Prozess auf Aktualität prüfen.
CVE Quick Check
Prüfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfläche erkennbar sind.
Grobe Einschätzung in wenigen Minuten per E-Mail.
Details im kostenlosen Gespräch mit einem LocateRisk Consultant.
Das erhalten Sie per E-Mail
UnternehmenIhre Firma GmbH
Geprüfte CVECVE-2024-3094
Passive Bewertung
Hinweise zur CVEHinweise gefunden
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.