A critical vulnerability (CVSS 9.8) in the Drupal AlternativeCommerce (Basket) module allows an unauthenticated, remote attacker to execute arbitrary code. The flaw affects Drupal AlternativeCommerce versions prior to 2.1.17. A mitigation is available, and users should apply it or upgrade to version 2.1.17 immediately.
[WID-SEC-2026-1702] Drupal AlternativeCommerce (Basket): Schwachstelle ermöglicht Codeausführung CVSS Base Score 9.8 (kritisch) CVSS Temporal Score 8.5 (hoch) Remoteangriff ja Datum 27.05.2026 Stand 28.05.2026 Mitigation ja Betroffene Systeme Betriebssystem Linux Sonstiges UNIX Windows Produktbeschreibung Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden. Produkte 27.05.2026 Open Source Drupal AlternativeCommerce <2.1.17 Angriff Angriff Ein entfernter, anonymer Angreifer kann eine Schwachstelle im Drupal-Modul "AlternativeCommerce" (Basket) ausnutzen, um beliebigen Programmcode auszuführen. CVE Informationen Versionshistorie Feedback zum Advisory geben