L’équipe de Drupal alerte sur des tentatives d’exploitation active d’une faille d’injection SQL qualifiée de « hautement critique », quelques jours seulement après sa divulgation.
Le projet de système de gestion de contenu avait publié un avertissement le 18 mai, pressant les administrateurs de planifier sans délai la mise à jour du cœur de leur application. Les développeurs anticipaient alors une exploitation par des acteurs malveillants « dans les heures ou les jours » à venir.
Cette vulnérabilité, identifiée sous la référence CVE-2026-9082, a été découverte par le chercheur Michael Maturi de Google et Mandiant. Elle affecte l’API d’abstraction de base de données de Drupal. Des requêtes spécialement conçues peuvent déclencher une injection SQL arbitraire sur les sites qui utilisent PostgreSQL comme moteur de base de données.
L’injection SQL est une faille de sécurité. Elle permet à un attaquant d’injecter des commandes SQL malveillantes dans les requêtes d’une base de données, souvent via des champs de saisie utilisateur. Cela peut donner lieu à un accès non autorisé, à la modification ou à la suppression de données.
Cette vulnérabilité est exploitable sans authentification préalable. Elle peut conduire à une exécution de code à distance, à une élévation de privilèges et à une exposition d’informations sensibles.
Le 22 mai, Drupal a mis à jour son avis de sécurité pour confirmer que des tentatives d’exploitation avaient été détectées.
L’avis précise que « le niveau de risque a été réévalué pour refléter la détection d’exploitations actives ».
Drupal a classé cette vulnérabilité comme « hautement critique », avec un score interne de 23 sur 25. Cependant, l’organisme NIST lui attribue une gravité « moyenne », sur la base d’un score CVSS v3 de 6,5.
Impact et recommandations
La faille CVE-2026-9082 touche un large éventail de versions de Drupal, notamment :
- Drupal 8.9.x
- Drupal 10.4.x antérieure à la version 10.4.10
- Drupal 10.5.x antérieure à la version 10.5.10
- Drupal 10.6.x antérieure à la version 10.6.9
- Drupal 11.0.x / 11.1.x antérieure à la version 11.1.10
- Drupal 11.2.x antérieure à la version 11.2.12
- Drupal 11.3.x antérieure à la version 11.3.10
Les propriétaires et administrateurs de sites web doivent procéder à une mise à niveau immédiate vers la dernière version disponible de leur branche logicielle.
Même les sites qui n’utilisent pas PostgreSQL doivent être mis à jour, car les correctifs de sécurité les plus récents incluent aussi des réparations pour des composants tiers comme Symfony et Twig.
L’avis souligne que les branches Drupal 8 et 9 ont atteint leur fin de vie. Les correctifs pour ces versions ne sont fournis que sur une base de « meilleurs efforts ». De plus, ces anciennes branches contiennent d’autres vulnérabilités connues, et leur utilisation continue présente donc un risque inhérent.