{"id":9177,"date":"2026-07-15T04:33:10","date_gmt":"2026-07-15T04:33:10","guid":{"rendered":"https:\/\/locaterisk.com\/de\/?p=9177"},"modified":"2026-07-15T09:55:40","modified_gmt":"2026-07-15T09:55:40","slug":"drupal-localgov-workflows","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/en\/drupal-localgov-workflows\/","title":{"rendered":"Drupal Modules: Critical Vulnerability Leading to Code Execution (CVE-2026-9726) and Information Disclosure (CVE-2026-10768)"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/en\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">Drupal-Module: Kritische L\u00fccke zur Codeausf\u00fchrung (CVE-2026-9726) und Informationsleck (CVE-2026-10768)<\/h1>\r\n            <p class=\"paragraph\"><br><span class=\"lr-ai-disclosure\" style=\"display:block;margin:8px 0 28px;font-size:14px;line-height:1.4;color:#8b93a7;font-family:inherit;font-style:italic;\">Dieser Text wurde mit k\u00fcnstlicher Intelligenz (KI) erstellt.<\/span>Ende Mai und Anfang Juni 2026 ver\u00f6ffentlichte das Drupal-Sicherheitsteam zwei Security Advisories f\u00fcr weit verbreitete Contributed Modules. Die Schwachstellen betreffen die Module <strong>AlternativeCommerce (Basket)<\/strong> und <strong>LocalGov Workflows<\/strong>. Eine der L\u00fccken, CVE-2026-9726, wird als hochkritisch eingestuft und erm\u00f6glicht die Ausf\u00fchrung von beliebigem Code. F\u00fcr beide Schwachstellen stehen Sicherheitsupdates zur Verf\u00fcgung, deren Installation f\u00fcr Betreiber von Drupal-Instanzen hohe Priorit\u00e4t hat.<br><br><a href=\"#cve-check\" class=\"lr-cveqc-jump\" style=\"display:inline-block;font-weight:700;color:#26d9c3;text-decoration:none;\">Sind meine Systeme betroffen? Jetzt pr\u00fcfen \u2192<\/a><\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png\" alt=\"Drupal-Module: Kritische L\u00fccke zur Codeausf\u00fchrung (CVE-2026-9726) und Informationsleck (CVE-2026-10768)\" class=\"wp-image-9138\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<p><strong>Die Fakten im \u00dcberblick:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Hochkritische Schwachstelle:<\/strong> CVE-2026-9726 in <strong>drupal\/basket<\/strong> (AlternativeCommerce)<\/li>\n\n\n\n<li><strong>Risiko:<\/strong> Arbitrary PHP Code Execution (Drupal Risk Score: <strong>22\/25<\/strong>)<\/li>\n\n\n\n<li><strong>Betroffene Versionen:<\/strong> Alle vor <strong>2.1.17<\/strong><\/li>\n\n\n\n<li><strong>Behoben in:<\/strong> Version <strong>2.1.17<\/strong><\/li>\n\n\n\n<li><strong>Moderate Schwachstelle:<\/strong> CVE-2026-10768 in <strong>drupal\/localgov_workflows<\/strong><\/li>\n\n\n\n<li><strong>Risiko:<\/strong> Information Disclosure (Drupal Risk Score: <strong>14\/25<\/strong>)<\/li>\n\n\n\n<li><strong>Betroffene Versionen:<\/strong> Alle vor <strong>1.6.0<\/strong><\/li>\n\n\n\n<li><strong>Behoben in:<\/strong> Version <strong>1.6.0<\/strong><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Technischer Befund: Von Codeausf\u00fchrung bis Datenleck<\/strong><\/h2>\n\n\n\n<p>Die beiden Schwachstellen unterscheiden sich erheblich in ihrer technischen Natur und ihrem potenziellen Schaden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>CVE-2026-9726: PHP Object Injection im Basket-Modul<\/strong><\/h3>\n\n\n\n<p>Die als hochkritisch eingestufte L\u00fccke im Modul <strong>AlternativeCommerce (Basket)<\/strong> resultiert aus einer unzureichenden Validierung von serialisierten Daten, die von Nutzern stammen. Bevor diese Daten an die PHP-Funktion <strong>unserialize()<\/strong> weitergegeben werden, findet keine ausreichende Bereinigung statt. Dies erm\u00f6glicht einen Angriff mittels PHP Object Injection. Ein Angreifer kann speziell pr\u00e4parierte Daten an das System senden, um bei Vorhandensein einer geeigneten Gadget-Chain im Code beliebigen PHP-Code auf dem Server auszuf\u00fchren. Dies kann zur vollst\u00e4ndigen Kompromittierung des Systems f\u00fchren. Das Advisory <a href=\"https:\/\/www.drupal.org\/sa-contrib-2026-038\" target=\"_blank\" rel=\"noreferrer noopener\">SA-CONTRIB-2026-038<\/a> wurde am 27. Mai 2026 ver\u00f6ffentlicht und von Drew Webber (mcdruid) sowie Helena Zajika behoben; gemeldet wurde die Schwachstelle ebenfalls von Drew Webber (mcdruid).<\/p>\n\n\n\n<p>Das Drupal-Sicherheitsteam bewertet dieses Risiko mit <strong>22 von 25 Punkten<\/strong>. Der Bewertungsvektor (<strong>AC:None\/A:None\/CI:All\/II:All\/E:Theoretical\/TD:All<\/strong>) verdeutlicht die Gefahr: Der Angriff erfordert keine besondere Vorbereitung oder Authentifizierung und kann die Vertraulichkeit und Integrit\u00e4t der gesamten Anwendung gef\u00e4hrden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>CVE-2026-10768: Informationsleck in LocalGov Workflows<\/strong><\/h3>\n\n\n\n<p>Die zweite Schwachstelle im Modul <strong>LocalGov Workflows<\/strong> wird mit <strong>14 von 25 Punkten<\/strong> als moderat kritisch bewertet. Es handelt sich um eine unzureichende Zugriffskontrolle auf eine View, die Service-Kontakte anzeigt. Unbefugte k\u00f6nnen dadurch Namen von Kontakten und die ihnen zugeordneten Inhalte einsehen. Obwohl diese Schwachstelle keine direkte Codeausf\u00fchrung erlaubt, k\u00f6nnen die offengelegten Informationen f\u00fcr Social-Engineering-Angriffe oder zur Vorbereitung komplexerer Angriffe missbraucht werden. Das Advisory <a href=\"https:\/\/www.drupal.org\/sa-contrib-2026-039\" target=\"_blank\" rel=\"noreferrer noopener\">SA-CONTRIB-2026-039<\/a> wurde am 3. Juni 2026 ver\u00f6ffentlicht; gemeldet von Maria Young (maria.y), behoben von Finn Lewis und Rupert Jabelman, koordiniert durch Greg Knaddison (greggles) vom Drupal Security Team.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Handlungsbedarf: Patchen und Pr\u00fcfen<\/strong><\/h2>\n\n\n\n<p>F\u00fcr beide Schwachstellen ist die empfohlene Ma\u00dfnahme die umgehende Installation der bereitgestellten Sicherheitsupdates. Beide Advisories weisen den Exploitability-Parameter <strong>E:Theoretical<\/strong> aus \u2014 aktive Ausnutzung ist bislang nicht bekannt, jedoch erh\u00f6ht die \u00f6ffentliche Bekanntmachung der technischen Details das theoretische Angriffsrisiko.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>AlternativeCommerce (Basket):<\/strong> Betreiber m\u00fcssen auf Version <strong>2.1.17<\/strong> oder neuer aktualisieren. Falls ein sofortiges Update nicht m\u00f6glich ist, sollte das Modul tempor\u00e4r deaktiviert werden, um das Angriffsrisiko zu minimieren.<\/li>\n\n\n\n<li><strong>LocalGov Workflows:<\/strong> Ein Upgrade auf Version <strong>1.6.0<\/strong> oder neuer schlie\u00dft das Informationsleck.<\/li>\n<\/ul>\n\n\n\n<p>Unternehmen sollten diesen Vorfall zum Anlass nehmen, eine vollst\u00e4ndige Inventur aller eingesetzten Drupal-Module durchzuf\u00fchren und den Patch-Management-Prozess zu \u00fcberpr\u00fcfen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>DACH- und EU-Kontext<\/strong><\/h2>\n\n\n\n<p>F\u00fcr Betreiber in Deutschland, \u00d6sterreich und der Schweiz sind zwei regulatorische Aspekte besonders relevant. Erstens kann die durch CVE-2026-10768 erm\u00f6glichte Offenlegung von Namen und zugeordneten Inhalten personenbezogene Daten betreffen. In diesem Fall greift die Meldepflicht nach <strong>Art. 33 DSGVO<\/strong>: Verantwortliche m\u00fcssen einen Datenschutzversto\u00df innerhalb von 72 Stunden der zust\u00e4ndigen Aufsichtsbeh\u00f6rde melden. Zweitens sind Betreiber kritischer Infrastrukturen sowie \u00f6ffentliche Stellen, die unter die <strong>NIS-2-Richtlinie<\/strong> fallen, verpflichtet, ein aktives Patch-Management f\u00fcr eingesetzte Softwarekomponenten nachzuweisen \u2014 die z\u00fcgige Behebung von CVE-2026-9726 und CVE-2026-10768 ist damit nicht nur technisch, sondern auch compliance-rechtlich geboten. Das BSI empfiehlt generell, verf\u00fcgbare Sicherheitsupdates f\u00fcr exponierte Webanwendungen ohne unn\u00f6tige Verz\u00f6gerung einzuspielen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Sichtbarkeit und Kontrolle mit EASM und C-SRM<\/strong><\/h2>\n\n\n\n<p>Die Verwaltung von Systemen wie Drupal zeigt zwei zentrale Herausforderungen der modernen IT-Sicherheit: die Kontrolle \u00fcber die eigene, extern erreichbare Infrastruktur und das Management von Risiken in der Lieferkette.<\/p>\n\n\n\n<ol class=\"wp-block-list has-text-color\" style=\"color:#ffffff\">\n<li><strong>Externe Angriffsfl\u00e4chen verstehen (EASM):<\/strong> Drupal-Instanzen, insbesondere solche mit einer Vielzahl von Contrib-Modulen, k\u00f6nnen schnell zu einem un\u00fcbersichtlichen Teil der externen Angriffsfl\u00e4che werden. Gerade Schatten-IT, vergessene Subdomains oder nicht inventarisierte Cloud-Assets \u2014 etwa Staging-Umgebungen, die \u00f6ffentlich erreichbar geblieben sind \u2014 entziehen sich oft dem zentralen Patch-Management. Eine External Attack Surface Management (EASM) Plattform wie LocateRisk identifiziert kontinuierlich alle \u00f6ffentlich erreichbaren Systeme eines Unternehmens, einschlie\u00dflich Webanwendungen. So l\u00e4sst sich feststellen, wo Drupal eingesetzt wird und ob potenziell verwundbare Komponenten exponiert sind. Dies schafft die notwendige Transparenz, um Patches gezielt und vollst\u00e4ndig auszurollen.<\/li>\n\n\n\n<li><strong>Risiken der Lieferkette managen (C-SRM):<\/strong> Oft werden Webseiten von externen Dienstleistern wie Marketing- oder Webagenturen betrieben. Ist deren Drupal-Instanz von CVE-2026-9726 betroffen, stellt dies ein direktes Risiko f\u00fcr Ihr Unternehmen dar. Continuous Supply Chain Risk Management (C-SRM) bewertet automatisiert und fortlaufend die Sicherheit Ihrer Lieferanten. Sinkt die Sicherheitsbewertung eines Partners aufgrund einer kritischen, ungepatchten Schwachstelle, erhalten Sie eine Warnung und k\u00f6nnen proaktiv Ma\u00dfnahmen einfordern. Dies unterst\u00fctzt die Erf\u00fcllung von Compliance-Anforderungen wie NIS-2 oder ISO 27001, die ein aktives Management von Lieferkettenrisiken vorschreiben.<\/li>\n<\/ol>\n\n\n\n<p>Die L\u00f6sung von LocateRisk bietet eine Plattform \u201eMade in Germany&#8220;, die in zertifizierten deutschen Rechenzentren gehostet wird, bei der Einhaltung der DSGVO-Anforderungen unterst\u00fctzt und das Risiko einer US-Cloud-Act-Exposition erheblich reduziert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Quellen und weitere Infos<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Drupal Security Advisory (LocalGov Workflows, CVE-2026-10768):<\/strong> <a href=\"https:\/\/www.drupal.org\/sa-contrib-2026-039\" target=\"_blank\" rel=\"noreferrer noopener\">SA-CONTRIB-2026-039<\/a><\/li>\n<li><strong>Drupal Security Advisory (AlternativeCommerce Basket, CVE-2026-9726):<\/strong> <a href=\"https:\/\/www.drupal.org\/sa-contrib-2026-038\" target=\"_blank\" rel=\"noreferrer noopener\">SA-CONTRIB-2026-038<\/a><\/li>\n<li><strong>GitHub Advisory Database (CVE-2026-10768):<\/strong> <a href=\"https:\/\/github.com\/advisories\/GHSA-m5cq-wg24-c9f2\" target=\"_blank\" rel=\"noreferrer noopener\">GHSA-m5cq-wg24-c9f2<\/a><\/li>\n<li><strong>GitHub Advisory Database (CVE-2026-9726):<\/strong> <a href=\"https:\/\/github.com\/advisories\/GHSA-ggc6-38jq-q957\" target=\"_blank\" rel=\"noreferrer noopener\">GHSA-ggc6-38jq-q957<\/a><\/li>\n<\/ul>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Was ist PHP Object Injection und warum ist sie so gef\u00e4hrlich?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">PHP Object Injection entsteht, wenn eine Anwendung vom Nutzer gelieferte Daten ohne ausreichende Bereinigung an die PHP-Funktion <strong>unserialize()<\/strong> \u00fcbergibt. Ein Angreifer kann dabei speziell pr\u00e4parierte Objekte einschleusen. Existiert im Anwendungscode eine geeignete Gadget-Chain, kann dies zur Ausf\u00fchrung beliebigen PHP-Codes auf dem Server f\u00fchren \u2014 im schlimmsten Fall zur vollst\u00e4ndigen Kompromittierung der Drupal-Instanz (Drupal Risk Score 22\/25, <strong>AC:None\/A:None<\/strong>).<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Welche Modulversionen sind von den Schwachstellen betroffen, und welche Version behebt sie?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">CVE-2026-9726 betrifft alle Versionen des Moduls <strong>drupal\/basket<\/strong> (AlternativeCommerce) vor <strong>2.1.17<\/strong>; die behobene Version ist <strong>2.1.17<\/strong>. CVE-2026-10768 betrifft alle Versionen von <strong>drupal\/localgov_workflows<\/strong> vor <strong>1.6.0<\/strong>; die behobene Version ist <strong>1.6.0<\/strong>. Beide Sicherheitsupdates stehen auf drupal.org zum Download bereit.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Wie sch\u00fctze ich meine Drupal-Instanz konkret gegen diese Schwachstellen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">F\u00fcr das Basket-Modul ist ein sofortiges Upgrade auf Version <strong>2.1.17<\/strong> oder neuer erforderlich. Falls ein Update kurzfristig nicht m\u00f6glich ist, empfiehlt das Drupal-Sicherheitsteam, das Modul tempor\u00e4r zu deaktivieren, um das Angriffsrisiko zu minimieren. F\u00fcr LocalGov Workflows gen\u00fcgt ein Upgrade auf Version <strong>1.6.0<\/strong> oder neuer. Dar\u00fcber hinaus sollten Betreiber alle installierten Contrib-Module inventarisieren und ihren Patch-Management-Prozess auf Aktualit\u00e4t pr\u00fcfen.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n<div id=\"cve-check\" style=\"scroll-margin-top:100px\"><\/div>\n\n\n\n\t<div class=\"wp-block-lr-cve-quick-check lr-cveqc\">\n\t\t<div class=\"lr-cveqc-inner\">\n\n\t\t\t<div class=\"lr-cveqc-story\">\n\t\t\t\t<h2 class=\"lr-cveqc-headline\">CVE Quick Check<\/h2>\n\t\t\t\t<p class=\"lr-cveqc-text\">Pr\u00fcfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfl\u00e4che erkennbar sind.<\/p>\n\n\t\t\t\t<ul class=\"lr-cveqc-bullets\">\n\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Grobe Einsch\u00e4tzung in wenigen Minuten per E-Mail.<\/span><\/li>\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Details im kostenlosen Gespr\u00e4ch mit einem LocateRisk Consultant.<\/span><\/li>\t\t\t\t<\/ul>\n\n\t\t\t\t\t\t\t\t<div class=\"lr-cveqc-teaser\" aria-hidden=\"true\">\n\t\t\t\t\t<h4>Das erhalten Sie per E-Mail<\/h4>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Unternehmen<\/span><span class=\"v\">Ihre Firma GmbH<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Gepr\u00fcfte CVE<\/span><span class=\"v\">CVE-2024-3094<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Passive Bewertung<\/span><span class=\"lr-cveqc-lamp\"><i class=\"r\"><\/i><i class=\"y\"><\/i><i class=\"g\"><\/i><\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Hinweise zur CVE<\/span><span class=\"lr-cveqc-pill\">Hinweise gefunden<\/span><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t<div class=\"lr-cveqc-form-col\">\n\t\t\t\t<form id=\"lr-cveqc-1\" class=\"lr-cveqc-form\" method=\"post\" novalidate\n\t\t\t\t\tdata-ajax-url=\"https:\/\/locaterisk.com\/wp-admin\/admin-ajax.php\">\n\n\t\t\t\t\t<input type=\"text\" name=\"cveId\" required maxlength=\"40\"\n\t\t\t\t\t\tpattern=\"^[Cc][Vv][Ee]-\\d{4}-\\d{4,7}$\"\n\t\t\t\t\t\tvalue=\"CVE-2026-9726\"\n\t\t\t\t\t\tplaceholder=\"CVE-ID, z. B. CVE-2024-3094\" \/>\n\n\t\t\t\t\t<input type=\"email\" name=\"email\" required maxlength=\"320\"\n\t\t\t\t\t\tplaceholder=\"Gesch\u00e4ftliche E-Mail-Adresse\" \/>\n\t\t\t\t\t<p class=\"lr-cveqc-hint\">Bitte verwenden Sie Ihre gesch\u00e4ftliche E-Mail-Adresse. Die Pr\u00fcfung bezieht sich auf das Unternehmen hinter Ihrer E-Mail-Domain; Free-Mail-Adressen (z. B. Gmail) k\u00f6nnen keinem Unternehmen zugeordnet werden.<\/p>\n\n\t\t\t\t\t<!-- Honeypot: f\u00fcr Menschen unsichtbar, Bots f\u00fcllen es aus.\n\t\t\t\t\t     Neutraler Feldname (NICHT \"website\"\/\"url\"\/\"email\"), sonst f\u00fcllen\n\t\t\t\t\t     Passwort-Manager und Browser-Autofill das Feld beim echten Nutzer\n\t\t\t\t\t     und blocken ihn faelschlich. -->\n\t\t\t\t\t<div class=\"lr-cveqc-hp\" aria-hidden=\"true\">\n\t\t\t\t\t\t<label>Dieses Feld bitte leer lassen\n\t\t\t\t\t\t\t<input type=\"text\" name=\"lr_hp_check\" tabindex=\"-1\" autocomplete=\"off\" \/>\n\t\t\t\t\t\t<\/label>\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"consentProcessingAccepted\" value=\"1\" required \/>\n\t\t\t\t\t\t<span>Ich stimme zu, dass LocateRisk meine Angaben verarbeitet, um den Quick Check durchzuf\u00fchren, und mir das Ergebnis per E-Mail zusendet. Hinweise in der <a href=\"\/datenschutz\/\" target=\"_blank\" rel=\"noopener\">Datenschutzerkl\u00e4rung<\/a>.<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"marketingOptIn\" value=\"1\" \/>\n\t\t\t\t\t\t<span>Ich m\u00f6chte zus\u00e4tzlich Informationen zu LocateRisk Produkten und Security-Themen per E-Mail erhalten (optional).<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<input type=\"hidden\" name=\"locale\" value=\"en\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"blogPostUrl\" value=\"https:\/\/locaterisk.com\/en\/drupal-localgov-workflows\/\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmSource\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmCampaign\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"invalidCveMessage\" value=\"Bitte geben Sie eine g\u00fcltige CVE-ID an (z. B. CVE-2024-3094).\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"consentRequiredMessage\" value=\"Bitte stimmen Sie der Verarbeitung zu, damit wir den Quick Check durchf\u00fchren k\u00f6nnen.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"captchaMessage\" value=\"Bitte best\u00e4tigen Sie das reCAPTCHA und versuchen Sie es erneut.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"successMessage\" value=\"Vielen Dank! Bitte best\u00e4tigen Sie Ihre E-Mail-Adresse \u00fcber den Link, den wir Ihnen soeben geschickt haben. Danach starten wir den Quick Check.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"errorMessage\" value=\"Das hat leider nicht geklappt. Bitte pr\u00fcfen Sie Ihre Angaben und versuchen Sie es erneut.\" \/>\n\n\t\t\t\t\t\t\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\"\n\t\t\t\t\t\t\tdata-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\t\t\t\t\t\n\t\t\t\t\t<p class=\"lr-cveqc-message\" hidden><\/p>\n\n\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\">Quick Check starten<\/button>\n\t\t\t\t<\/form>\n\t\t\t<\/div>\n\n\t\t<\/div>\n\t<\/div>\n\n\t\t<style>\n\t\t\/* CVE Quick Check im Stil der bestehenden Anfrage-Formulare:\n\t\t   wei\u00dfer Grund, zweispaltig, graue Felder, t\u00fcrkiser Button. *\/\n\t\t.lr-cveqc {\n\t\t\tbackground: #ffffff; color: #00051d; box-sizing: border-box; padding: 64px 32px;\n\t\t\tfont-family: Roboto, -apple-system, BlinkMacSystemFont, \"Segoe UI\", Helvetica, Arial, sans-serif;\n\t\t}\n\t\t.lr-cveqc * { box-sizing: border-box; }\n\t\t.lr-cveqc-inner {\n\t\t\tmax-width: 1160px; margin: 0 auto;\n\t\t\tdisplay: flex; flex-direction: row; gap: 6%; align-items: flex-start;\n\t\t}\n\t\t.lr-cveqc-story { flex: 1 1 54%; min-width: 0; }\n\t\t.lr-cveqc-form-col { flex: 0 0 38%; max-width: 420px; }\n\n\t\t.lr-cveqc-headline { color: #26d9c3; margin: 0 0 20px; }\n\t\t.lr-cveqc-text { font-size: 16px; line-height: 1.62; color: #00051d; margin: 0 0 28px; max-width: 46ch; }\n\n\t\t.lr-cveqc-bullets { list-style: none; margin: 0 0 30px; padding: 0; display: flex; flex-direction: column; gap: 16px; }\n\t\t.lr-cveqc-bullets li { display: flex; gap: 13px; align-items: flex-start; }\n\t\t.lr-cveqc-bullets svg { flex: none; width: 25px; height: 25px; margin-top: 1px; }\n\t\t.lr-cveqc-bullets span { font-size: 15px; line-height: 1.5; color: #00051d; }\n\n\t\t.lr-cveqc-teaser { border: 1px solid #e2e8e6; border-radius: 12px; padding: 18px 20px; background: linear-gradient(180deg,#fbfdfc,#f2f8f6); max-width: 430px; }\n\t\t.lr-cveqc-teaser h4 { margin: 0 0 6px; font-size: 11px; letter-spacing: .15em; text-transform: uppercase; color: #58616f; font-family: inherit; font-weight: 700; }\n\t\t.lr-cveqc-trow { display: flex; align-items: center; justify-content: space-between; gap: 10px; padding: 7px 0; font-size: 13.5px; }\n\t\t.lr-cveqc-trow + .lr-cveqc-trow { border-top: 1px dashed #dbe4e1; }\n\t\t.lr-cveqc-trow .k { color: #58616f; }\n\t\t.lr-cveqc-trow .v { font-weight: 600; color: #00051d; }\n\t\t.lr-cveqc-lamp { display: inline-flex; gap: 6px; align-items: center; }\n\t\t.lr-cveqc-lamp i { width: 13px; height: 13px; border-radius: 50%; opacity: .28; display: inline-block; }\n\t\t.lr-cveqc-lamp i.r { background: #f6105f; }\n\t\t.lr-cveqc-lamp i.y { background: #f6bf28; }\n\t\t.lr-cveqc-lamp i.g { background: #23c39a; opacity: 1; box-shadow: 0 0 0 3px rgba(35,195,154,.22); }\n\t\t.lr-cveqc-pill { font-size: 12px; font-weight: 700; padding: 3px 10px; border-radius: 999px; background: #ffe1ea; color: #c1114b; white-space: nowrap; }\n\n\t\t.lr-cveqc-form input[type=text], .lr-cveqc-form input[type=email] {\n\t\t\tdisplay: block; width: 100%; height: 50px; margin: 0 0 10px;\n\t\t\tborder: 0; border-radius: 0; background: #dedede; color: #00051d;\n\t\t\tfont-size: 16px; padding: 0 18px; font-family: inherit;\n\t\t}\n\t\t.lr-cveqc-form input::placeholder { color: #6d7580; }\n\t\t.lr-cveqc-form input.lr-invalid { border-bottom: 2px solid #f6105f; }\n\t\t.lr-cveqc-hint { font-size: 12.5px; line-height: 1.5; color: #58616f; margin: 2px 0 16px; }\n\t\t.lr-cveqc-hp { position: absolute !important; left: -9999px !important; height: 0; overflow: hidden; }\n\t\t.lr-cveqc-check { display: flex; gap: 12px; align-items: flex-start; margin: 0 0 12px; font-size: 12.5px; line-height: 1.5; color: #00051d; }\n\t\t.lr-cveqc-check span { color: #00051d; }\n\t\t.lr-cveqc-check input { margin-top: 2px; flex: none; width: 18px; height: 18px; accent-color: #26d9c3; }\n\t\t.lr-cveqc-check a { color: inherit; text-decoration: underline; }\n\t\t.lr-cveqc .g-recaptcha { margin: 8px 0 16px; }\n\t\t.lr-cveqc-message { font-size: 14px; padding: 12px 14px; border-radius: 6px; margin: 0 0 12px; }\n\t\t.lr-cveqc-message.lr-success { background: #e2f7ef; color: #0c6b4d; }\n\t\t.lr-cveqc-message.lr-error { background: #fdeaee; color: #9b0e3f; }\n\t\t.lr-cveqc .lr-button-link, .lr-cveqc button[type=submit] {\n\t\t\tdisplay: flex; align-items: center; justify-content: center;\n\t\t\twidth: 100%; height: 50px; padding: 0 20px; box-sizing: border-box;\n\t\t\tborder: 0; cursor: pointer;\n\t\t\tbackground: #26d9c3; color: #00051d; font-weight: 700; font-size: 14px;\n\t\t\tfont-family: inherit; text-align: center; line-height: 1.2; text-decoration: none;\n\t\t\ttransition: background .15s ease;\n\t\t}\n\t\t.lr-cveqc button[type=submit]:hover { background: #0fb5a2; }\n\t\t.lr-cveqc button[disabled] { opacity: .6; cursor: default; }\n\n\t\t@media (max-width: 820px) {\n\t\t\t.lr-cveqc { padding: 40px 22px; }\n\t\t\t.lr-cveqc-inner { flex-direction: column; gap: 34px; }\n\t\t\t.lr-cveqc-story, .lr-cveqc-form-col { flex-basis: auto; max-width: 520px; width: 100%; }\n\t\t}\n\t<\/style>\n\t<script>\n\t(function () {\n\t\t\/\/ Token-Callbacks f\u00fcrs globale reCAPTCHA (identisch zum Theme, defensiv)\n\t\tif (!window.verifyRecaptchaCallback) {\n\t\t\twindow.verifyRecaptchaCallback = function (response) {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = response })\n\t\t\t}\n\t\t}\n\t\tif (!window.expiredRecaptchaCallback) {\n\t\t\twindow.expiredRecaptchaCallback = function () {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = '' })\n\t\t\t}\n\t\t}\n\n\t\tfunction showMessage(form, text, isSuccess) {\n\t\t\tvar box = form.querySelector('.lr-cveqc-message')\n\t\t\tbox.textContent = text\n\t\t\tbox.classList.remove('lr-success', 'lr-error')\n\t\t\tbox.classList.add(isSuccess ? 'lr-success' : 'lr-error')\n\t\t\tbox.hidden = false\n\t\t}\n\n\t\tfunction init() {\n\t\t\tdocument.querySelectorAll('.lr-cveqc-form').forEach(function (form) {\n\t\t\t\tform.addEventListener('submit', function (e) {\n\t\t\t\t\te.preventDefault()\n\n\t\t\t\t\tvar cve = form.querySelector('input[name=cveId]')\n\t\t\t\t\tvar email = form.querySelector('input[name=email]')\n\t\t\t\t\tvar consent = form.querySelector('input[name=consentProcessingAccepted]')\n\t\t\t\t\tvar cvePattern = \/^CVE-\\d{4}-\\d{4,7}$\/i\n\n\t\t\t\t\tcve.classList.toggle('lr-invalid', !cvePattern.test(cve.value.trim()))\n\t\t\t\t\temail.classList.toggle('lr-invalid', !email.checkValidity())\n\n\t\t\t\t\tif (!cvePattern.test(cve.value.trim())) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=invalidCveMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!email.checkValidity()) {\n\t\t\t\t\t\temail.reportValidity()\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!consent.checked) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=consentRequiredMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\n\t\t\t\t\tvar button = form.querySelector('button[type=submit]')\n\t\t\t\t\tbutton.disabled = true\n\n\t\t\t\t\tvar data = new FormData(form)\n\t\t\t\t\tdata.append('action', 'lr_cve_quick_check')\n\n\t\t\t\t\tfetch(form.getAttribute('data-ajax-url'), { method: 'POST', body: data })\n\t\t\t\t\t\t.then(function (res) { return res.json() })\n\t\t\t\t\t\t.then(function (json) {\n\t\t\t\t\t\t\tif (json && json.success) {\n\t\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=successMessage]').value, true)\n\t\t\t\t\t\t\t\tform.querySelectorAll('input, button').forEach(function (el) { el.disabled = true })\n\t\t\t\t\t\t\t} else {\n\t\t\t\t\t\t\t\t\/\/ Interne Codes nie roh anzeigen, nur bekannte Codes auf\n\t\t\t\t\t\t\t\t\/\/ konfigurierte Texte mappen, sonst generische Fehlermeldung\n\t\t\t\t\t\t\t\tvar code = json && json.data && (json.data.code || json.data.message)\n\t\t\t\t\t\t\t\tvar msg = form.querySelector('input[name=errorMessage]').value\n\t\t\t\t\t\t\t\tif (code === 'invalid_cve' || code === 'invalid') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=invalidCveMessage]').value\n\t\t\t\t\t\t\t\t} else if (code === 'captcha') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=captchaMessage]').value\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\tshowMessage(form, msg, false)\n\t\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t\t\tif (window.grecaptcha && form.querySelector('.g-recaptcha')) {\n\t\t\t\t\t\t\t\t\ttry { window.grecaptcha.reset() } catch (err) { \/* noop *\/ }\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t}\n\t\t\t\t\t\t})\n\t\t\t\t\t\t.catch(function () {\n\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=errorMessage]').value, false)\n\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t})\n\t\t\t\t})\n\t\t\t})\n\t\t}\n\n\t\tif (document.readyState === 'loading') {\n\t\t\tdocument.addEventListener('DOMContentLoaded', init)\n\t\t} else {\n\t\t\tinit()\n\t\t}\n\t})()\n\t<\/script>\n\t\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Analysis of the critical RCE vulnerability CVE-2026-9726 (AlternativeCommerce Basket) and the information leak CVE-2026-10768 (LocalGov Workflows) in Drupal.<\/p>","protected":false},"author":13,"featured_media":9138,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[632],"tags":[737,732,733,411,735,511,734,736,115],"class_list":["post-9177","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-news","tag-alternativecommerce-basket","tag-cve-2026-10768","tag-cve-2026-9726","tag-drupal","tag-localgov-workflows","tag-php-object-injection","tag-sa-contrib-2026-038","tag-sa-contrib-2026-039","tag-schwachstelle"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Drupal-Schwachstellen CVE-2026-9726 &amp; CVE-2026-10768 | Analyse<\/title>\n<meta name=\"description\" content=\"Analyse der kritischen RCE-Schwachstelle CVE-2026-9726 (AlternativeCommerce Basket) und des Informationslecks CVE-2026-10768 (LocalGov Workflows) in Drupal.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/en\/drupal-localgov-workflows\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Drupal-Schwachstellen CVE-2026-9726 &amp; CVE-2026-10768 | Analyse\" \/>\n<meta property=\"og:description\" content=\"Analyse der kritischen RCE-Schwachstelle CVE-2026-9726 (AlternativeCommerce Basket) und des Informationslecks CVE-2026-10768 (LocalGov Workflows) in Drupal.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/en\/drupal-localgov-workflows\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-15T04:33:10+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-15T09:55:40+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"Drupal-Module: Kritische L\u00fccke zur Codeausf\u00fchrung (CVE-2026-9726) und Informationsleck (CVE-2026-10768)\",\"datePublished\":\"2026-07-15T04:33:10+00:00\",\"dateModified\":\"2026-07-15T09:55:40+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/\"},\"wordCount\":1088,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/vulnerability-disclosure.png\",\"keywords\":[\"AlternativeCommerce Basket\",\"CVE-2026-10768\",\"CVE-2026-9726\",\"Drupal\",\"LocalGov Workflows\",\"PHP Object Injection\",\"SA-CONTRIB-2026-038\",\"SA-CONTRIB-2026-039\",\"Schwachstelle\"],\"articleSection\":[\"Cybersecurity News\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/\",\"name\":\"Drupal-Schwachstellen CVE-2026-9726 & CVE-2026-10768 | Analyse\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/vulnerability-disclosure.png\",\"datePublished\":\"2026-07-15T04:33:10+00:00\",\"dateModified\":\"2026-07-15T09:55:40+00:00\",\"description\":\"Analyse der kritischen RCE-Schwachstelle CVE-2026-9726 (AlternativeCommerce Basket) und des Informationslecks CVE-2026-10768 (LocalGov Workflows) in Drupal.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/vulnerability-disclosure.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/vulnerability-disclosure.png\",\"width\":400,\"height\":400,\"caption\":\"vulnerability-disclosure\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/drupal-localgov-workflows\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Drupal-Module: Kritische L\u00fccke zur Codeausf\u00fchrung (CVE-2026-9726) und Informationsleck (CVE-2026-10768)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Drupal Vulnerabilities CVE-2026-9726 &amp; CVE-2026-10768 | Analysis","description":"Analysis of the critical RCE vulnerability CVE-2026-9726 (AlternativeCommerce Basket) and the information leak CVE-2026-10768 (LocalGov Workflows) in Drupal.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/en\/drupal-localgov-workflows\/","og_locale":"en_US","og_type":"article","og_title":"Drupal-Schwachstellen CVE-2026-9726 & CVE-2026-10768 | Analyse","og_description":"Analyse der kritischen RCE-Schwachstelle CVE-2026-9726 (AlternativeCommerce Basket) und des Informationslecks CVE-2026-10768 (LocalGov Workflows) in Drupal.","og_url":"https:\/\/locaterisk.com\/en\/drupal-localgov-workflows\/","og_site_name":"LocateRisk","article_published_time":"2026-07-15T04:33:10+00:00","article_modified_time":"2026-07-15T09:55:40+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Kristina Hoinkis","Est. reading time":"5 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"Drupal-Module: Kritische L\u00fccke zur Codeausf\u00fchrung (CVE-2026-9726) und Informationsleck (CVE-2026-10768)","datePublished":"2026-07-15T04:33:10+00:00","dateModified":"2026-07-15T09:55:40+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/"},"wordCount":1088,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png","keywords":["AlternativeCommerce Basket","CVE-2026-10768","CVE-2026-9726","Drupal","LocalGov Workflows","PHP Object Injection","SA-CONTRIB-2026-038","SA-CONTRIB-2026-039","Schwachstelle"],"articleSection":["Cybersecurity News"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/","url":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/","name":"Drupal Vulnerabilities CVE-2026-9726 &amp; CVE-2026-10768 | Analysis","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png","datePublished":"2026-07-15T04:33:10+00:00","dateModified":"2026-07-15T09:55:40+00:00","description":"Analysis of the critical RCE vulnerability CVE-2026-9726 (AlternativeCommerce Basket) and the information leak CVE-2026-10768 (LocalGov Workflows) in Drupal.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/vulnerability-disclosure.png","width":400,"height":400,"caption":"vulnerability-disclosure"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/drupal-localgov-workflows\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"Drupal-Module: Kritische L\u00fccke zur Codeausf\u00fchrung (CVE-2026-9726) und Informationsleck (CVE-2026-10768)"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"Measure and compare IT security","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/9177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/comments?post=9177"}],"version-history":[{"count":3,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/9177\/revisions"}],"predecessor-version":[{"id":9180,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/9177\/revisions\/9180"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/media\/9138"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/media?parent=9177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/categories?post=9177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/tags?post=9177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}