Une agence américaine a ordonné aux administrations gouvernementales de sécuriser leurs serveurs contre une faille critique du système de gestion de contenu Drupal. Cette vulnérabilité est déjà exploitée et les corrections doivent être appliquées avant mercredi soir.
Le chercheur Michael Maturi, qui travaille pour Google Mandiant, a identifié cette faille, référencée sous le code CVE-2026-9082. Elle se trouve dans l’API d’abstraction de base de données de Drupal.
Les attaquants peuvent exploiter cette vulnérabilité sans authentification. Ils peuvent provoquer des injections SQL arbitraires sur les sites qui utilisent le système PostgreSQL grâce à des requêtes spécialement conçues. Une exploitation réussie peut entraîner la divulgation d’informations, l’augmentation des privilèges ou même l’exécution de code à distance.
L’équipe de sécurité de Drupal a classé cette faille comme « très critique ». Elle a ensuite publié des corrections et confirmé que des tentatives d’exploitation avaient été détectées.
L’organisation de surveillance Shadowserver suit actuellement près de 670 installations Drupal non corrigées et exposées sur internet. La plupart se trouvent en Amérique du Nord, avec 272 instances, et en Europe, avec 273.
Vendredi, l’Agence américaine de sécurité des infrastructures et de la cybersécurité, ou CISA, a ajouté cette faille à son Catalogue des vulnérabilités exploitées connues. Elle a ordonné aux agences du secteur civil exécutif fédéral de corriger leurs systèmes avant minuit mercredi 27 mai. Cette directive est imposée par l’Instruction opérationnelle obligatoire 22-01.
Cette instruction ne concerne que les agences fédérales américaines. Cependant, la CISA conseille à tous les défenseurs, y compris ceux du secteur privé, d’appliquer les corrections pour la faille CVE-2026-9082 dès que possible.
L’agence de cybersécurité a averti que ce type de vulnérabilité est un vecteur d’attaque fréquent pour les acteurs malveillants et qu’il présente des risques importants. Elle exhorte toutes les organisations à réduire leur exposition aux cyberattaques en corrigant rapidement les vulnérabilités listées dans son catalogue.
Elle recommande d’appliquer les mesures de protection selon les instructions des fournisseurs, de suivre les directives de l’Instruction 22-01 pour les services cloud, ou d’arrêter l’utilisation du produit si aucune protection n’est disponible.
Ces dernières années, la CISA a signalé cinq vulnérabilités Drupal qui ont été exploitées. Deux d’entre elles ont aussi été utilisées dans des attaques par ransomware.