Une vulnérabilité critique découverte dans Drupal
Une vulnérabilité de type injection SQL (SQLi) a été identifiée dans le système de gestion de contenu Drupal. Référencée sous le code CVE-2026-9082, cette faille affecte l'ensemble des branches actuellement supportées du CMS, ainsi que plusieurs versions en fin de vie qui bénéficient d'un correctif exceptionnel en raison de la gravité du problème.
Versions concernées et correctifs d'urgence
Les versions vulnérables incluent Drupal 10.5.x antérieures à 10.5.10, 10.6.x antérieures à 10.6.9, 10.x antérieures à 10.4.10, 11.2.x antérieures à 11.2.12, 11.3.x antérieures à 11.3.10, et 11.x antérieures à 11.1.10. Sont également concernées les versions 8.x antérieures à 8.9 et 9.x antérieures à 9.5, bien que ces branches soient en fin de vie. L'éditeur a précisé que le correctif pour CVE-2026-9082 n'est fourni qu'à titre exceptionnel pour ces versions non supportées, et qu'il n'inclut pas les correctifs des autres vulnérabilités découvertes depuis leur fin de support. Il invite donc les administrateurs à migrer vers une version supportée et à jour.
Spécificité de la vulnérabilité : PostgreSQL uniquement
Selon les informations officielles, la faille n'affecte que les installations utilisant PostgreSQL comme système de gestion de base de données. Cependant, l'éditeur recommande l'installation du correctif sur toutes les instances, car les dernières versions intègrent également des mises à jour de dépendances qui renforcent la sécurité globale.
Recommandations
Les administrateurs sont invités à appliquer sans délai les correctifs fournis dans le bulletin de sécurité SA-CORE-2026-004, disponible sur le site officiel de Drupal. Les utilisateurs de versions en fin de vie doivent planifier une migration vers une branche supportée (Drupal 10.5, 10.6, 11.2 ou 11.3) et maintenir leur installation à jour.
Impact potentiel
Une injection SQL pourrait permettre à un attaquant d'exécuter des requêtes non autorisées sur la base de données, compromettant l'intégrité et la confidentialité des données stockées. Les sites utilisant PostgreSQL sont directement exposés, mais la mise à jour est conseillée pour tous les environnements Drupal.
Cette alerte a été diffusée par les autorités de cybersécurité françaises, qui classent le risque comme critique et recommandent une intervention rapide.
