The vulnerability is an unauthenticated remote SQL injection in Drupal core's database abstraction API, specifically affecting sites using PostgreSQL, which can lead to unauthorized data access or manipulation. Affected versions include Drupal core from 8.9.0 through specific 10.x and 11.x releases. The article advises applying the provided Drupal core update, which also includes security fixes for integrated Symfony and Twig dependencies.
Drupal heeft een kwetsbaarheid verholpen in Drupal core (versies vanaf 8.9.0 tot specifieke 10.x en 11.x releases). De kwetsbaarheid betreft een SQL-injectie in de database abstraction API van Drupal. Hierdoor kunnen ongeauthenticeerde kwaadwillenden op afstand willekeurige SQL-injectieaanvallen uitvoeren op sites die gebruikmaken van PostgreSQL-databases. Dit kan leiden tot ongeautoriseerde toegang of manipulatie van data. Daarnaast bevat de update ook beveiligingsfixes voor Symfony- en Twig-dependencies die binnen Drupal zijn geïntegreerd.