L'équipe de développement du CMS Drupal a mis en ligne une mise à jour de sécurité critique le 20 mai 2026, après avoir alerté la communauté deux jours plus tôt. La vulnérabilité, référencée CVE-2026-9082, est classée comme une injection SQL dans l'API d'abstraction de base de données du cœur de Drupal. Elle permet à un attaquant non authentifié de soumettre des requêtes spécialement conçues, entraînant une exécution arbitraire de commandes SQL sur les sites utilisant une base de données PostgreSQL.

Un risque d'exploitation rapide

Dès le 18 mai 2026, Drupal a diffusé un message d'alerte demandant aux administrateurs de réserver un créneau le 20 mai, entre 17h00 et 21h00 UTC, pour appliquer le correctif. Cette démarche inhabituelle traduit la crainte que des cybercriminels ne développent des exploits peu après la publication de la mise à jour. Le bulletin de sécurité détaillé, mis en ligne le 20 mai, confirme que la faille résulte d'un défaut dans le mécanisme de protection contre les injections SQL intégré à l'API de base de données. L'exploitation peut mener à une compromission complète du site.

Versions concernées et correctifs disponibles

La vulnérabilité affecte Drupal 8 et toutes les versions ultérieures. Drupal 7 n'est pas concerné. L'équipe a publié des correctifs pour plusieurs branches, y compris des versions qui ne bénéficient plus d'un support officiel, en raison de la gravité de la situation. Voici les versions corrigées :

  • Drupal 11.3.x → Drupal 11.3.10
  • Drupal 11.2.x → Drupal 11.2.12
  • Drupal 11.1.x / 11.0.x → Drupal 11.1.10
  • Drupal 10.6.x → Drupal 10.6.9
  • Drupal 10.5.x → Drupal 10.5.10
  • Drupal 10.4.x et antérieures → Drupal 10.4.10
  • Drupal 9.x → correctif manuel disponible (patch pour Drupal 9.5)
  • Drupal 8.9 → correctif manuel disponible (patch pour Drupal 8.9)

Pour les branches 11.1.x et 10.4.x, qui ont atteint leur fin de vie, Drupal a exceptionnellement fourni des patchs. De même, des fichiers de type « hotfix » ont été mis à disposition pour Drupal 8 et 9, bien que ces versions ne soient plus maintenues.

Mesures recommandées

Les administrateurs de sites Drupal utilisant PostgreSQL doivent appliquer sans délai la mise à jour correspondant à leur version. Pour les versions ne disposant pas d'un correctif packagé, l'application manuelle du patch est impérative. Drupal insiste sur l'urgence de l'opération, l'exploitation à distance et sans privilège rendant la menace particulièrement élevée.