Drupal – CVE-2026-9082 : cette faille critique de type injection SQL menace les sites Web
Vous utilisez le CMS Drupal pour votre site Web ? Alors prenez un moment pour patcher une faille de sécurité critique qui semble particulièrement inquiéter l’équipe de développement. Voici ce que l’on sait sur cette menace.
Un fort risque d’exploitation pour cette vulnérabilité
Le 18 mai 2026, Drupal a publié un bulletin de sécurité pour alerter tout le monde, en mode : vous devez bloquer un créneau horaire le 20 mai entre 17h00 et 21h00 UTC afin de déployer cette mise à jour essentielle. C’est clairement précisé ceci dans leur message. Et même si ce créneau est désormais passé, vous devez agir si vous n’avez pas encore fait la mise à jour.
Si Drupal agit ainsi, c’est parce qu’il y a de fortes chances pour que des cybercriminels développent des exploits très rapidement suite à la mise en ligne de cette nouvelle mise à jour.
Cette vulnérabilité, désormais associée à la référence CVE-2026-9082, affecte le Core du CMS Drupal. Un second bulletin de sécurité a été mis en ligne le 20 mai 2026 pour évoquer plus en détail cette vulnérabilité, et à sa lecture, je comprends mieux pourquoi l’équipe de Drupal est inquiète.
Il s’agit d’une faille de sécurité de type injection SQL, exploitable de façon anonyme, c’est-à-dire par n’importe qui capable d’interagir avec un site sous Drupal. Elle est située dans l’API utilisée par Drupal et résulte d’un défaut dans le mécanisme de protection contre ces fameuses injections SQL.
“Le Core de Drupal intègre une API d’abstraction de base de données visant à garantir que les requêtes exécutées sur la base de données sont validées afin d’empêcher les attaques par injection SQL. Une vulnérabilité dans cette API permet à un attaquant d’envoyer des requêtes spécialement conçues, ce qui entraîne une injection SQL arbitraire sur les sites utilisant des bases de données PostgreSQL.”, peut-on lire dans le bulletin de sécurité :
L’exploitation de cette vulnérabilité peut aller jusqu’à la compromission du site Drupal.
Drupal : se protéger de la CVE-2026-9082
De nombreuses versions de Drupal sont affectées, y compris des versions plus prises en charge par l’équipe de développement. En effet, la CVE-2026-9082 affecte Drupal 8 et toutes les versions supérieures. De son côté, Drupal 7 est épargné.
Les correctifs de sécurité seront appliqués sur plusieurs branches du CMS. Voici les versions pour lesquelles des mises à jour spécifiques seront disponibles :
| Branche | Version avec le correctif |
| Drupal 11.3.x | Drupal 11.3.10 |
| Drupal 11.2.x | Drupal 11.2.12 |
| Drupal 11.1.x ou 11.0.x | Drupal 11.1.10 |
| Drupal 10.6.x | Drupal 10.6.9 |
| Drupal 10.5.x | Drupal 10.5.10 |
| Drupal 10.4.x ou antérieure | Drupal 10.4.10 |
| Toute version de Drupal 9 | Appliquez manuellement le patch pour Drupal 9.5 |
| Drupal 8.9 | Appliquez manuellement le patch pour Drupal 8.9 |
Fait notable : bien que les branches 11.1.x et 10.4.x ne soient plus officiellement prises en charge, l’équipe de Drupal a fait une exception en proposant des patchs, compte tenu de la gravité de la situation. Pour les versions 8 et 9, qui ont déjà atteint leur fin de vie, aucun correctif prêt à l’emploi n’est proposé. Mais, comme le montre le tableau ci-dessus, des fichiers de type “hotfix” sont exceptionnellement mis à disposition.