**Drupal**, un CMS populaire, est souvent utilisé par de grandes organisations, y compris des entités gouvernementales, des institutions éducatives et des entreprises médiatiques, pour gérer des structures de données étendues et des installations multi-sites. ### Détails de la vulnérabilité La vulnérabilité, **CVE-2026-9082**, a été découverte par le chercheur **Google/Mandiant** Michael Maturi dans l'API d'abstraction de base de données de **Drupal**. Elle permet à des attaquants non authentifiés de déclencher des injections SQL arbitraires sur les sites utilisant **PostgreSQL** via des requêtes spécialement conçues. Une exploitation réussie pourrait entraîner une divulgation d'informations, une escalade de privilèges et une exécution de code à distance. L'équipe de sécurité de **Drupal** a classé la faille comme « hautement critique » et a publié des correctifs après avoir détecté des tentatives d'exploitation dans la nature. ### Exploitation dans la nature Selon **Imperva**, plus de 15 000 tentatives d'attaque ciblant près de 6 000 sites individuels dans 65 pays ont été observées depuis la divulgation de la vulnérabilité. Les attaques ciblent principalement les sites de jeux et de services financiers. **Shadowserver** suit actuellement près de 670 installations **Drupal** non corrigées exposées en ligne, la majorité étant située en Amérique du Nord et en Europe.  *Instances Drupal non corrigées (Shadowserver)* ### Réponse de la CISA Vendredi, la **CISA** a ajouté la faille à son catalogue des vulnérabilités connues et exploitées (KEV) et a mandaté les agences de la branche exécutive civile fédérale (FCEB) pour qu'elles corrigent leurs systèmes d'ici mercredi 27 mai, conformément à la directive opérationnelle contraignante (BOD) 22-01. Bien que la BOD 22-01 s'applique spécifiquement aux agences fédérales américaines, la **CISA** conseille vivement à toutes les organisations, y compris celles du secteur privé, d'appliquer les correctifs **CVE-2026-9082** dès que possible pour sécuriser leurs systèmes. La **CISA** a signalé cinq vulnérabilités **Drupal** exploitées dans la nature au cours des dernières années, dont deux ont été utilisées dans des attaques de ransomware. ## [Le fossé de validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six.](https://hubs.li/Q048zztN0) Les outils de test d'intrusion automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)