**Drupal** a annoncé une "mise à jour de sécurité essentielle" prévue pour aujourd'hui, avertissant que les acteurs de la menace pourraient développer des exploits dans les heures suivant la divulgation de la mise à jour. ### Mise à jour urgente requise Il est demandé aux administrateurs de prévoir du temps pour les mises à jour essentielles le 20 mai entre 17h00 et 21h00 UTC. Il est fortement recommandé aux administrateurs de sites web utilisant les versions 8 ou 9 de passer au moins à la version 10.6. Le système de gestion de contenu (CMS) **Drupal** est largement utilisé par de grandes organisations, y compris celles des secteurs gouvernemental, éducatif et de la santé. ### Versions affectées et correctifs Selon le [communiqué de service public](https://www.drupal.org/psa-2026-05-18), la vulnérabilité affecte les versions 8 et ultérieures du cœur de **Drupal**. Des mises à jour de sécurité seront disponibles pour les versions suivantes : * Drupal 11.3.x * Drupal 11.2.x * Drupal 11.1x * Drupal 10.6.x * Drupal 10.5.x * Drupal 10.4x **Drupal** note que, bien que les versions 11.1x et 10.4x ne soient plus prises en charge, des correctifs leur seront tout de même fournis en raison de la gravité du problème de sécurité ; les administrateurs devraient mettre à jour vers **Drupal** 11.1.9 et 10.4.9. **Drupal** 8 et 9, qui ont atteint leur fin de vie, ne recevront pas de correctifs, mais des fichiers de correction rapide seront publiés pour les versions 9.5 et 8.9, permettant une remédiation pour ceux qui utilisent les versions 9.5.11 ou 8.9.20. Les sites utilisant **Drupal** Steward sont déjà protégés contre les vecteurs d'attaque connus. Une mise à jour est néanmoins recommandée. ### Divulgation limitée et prudence Aucun détail technique sur la vulnérabilité n'a été divulgué, et **Drupal** avertit que toute information apparaissant en ligne pourrait être frauduleuse. Il est conseillé aux administrateurs de faire preuve de prudence. « Ni l'équipe de sécurité ni aucune autre partie n'est en mesure de divulguer plus d'informations sur cette vulnérabilité avant que l'annonce ne soit faite », a averti **Drupal**. Les administrateurs de sites web **Drupal** devraient continuer à surveiller le portail de sécurité officiel de la plateforme tout au long de la journée pour obtenir plus d'informations et se préparer à appliquer la mise à jour de sécurité dès qu'elle sera disponible.