### Vulnérabilité dans Drupal Core : CVE-2026-9082 Une vulnérabilité de sécurité "hautement critique" a été découverte dans **Drupal** Core, entraînant la publication de correctifs de sécurité immédiats. La vulnérabilité, référencée sous **CVE-2026-9082**, présente des risques importants, notamment l'exécution de code à distance (RCE), l'escalade de privilèges et la divulgation d'informations. La vulnérabilité a un score CVSS de 6,5 sur 10,0. Selon **Drupal**, la faille réside dans une API d'abstraction de base de données utilisée pour valider les requêtes et prévenir les attaques par injection SQL. ### Détails Techniques "Une vulnérabilité dans cette API permet à un attaquant d'envoyer des requêtes spécialement conçues, entraînant une injection SQL arbitraire pour les sites utilisant des bases de données **PostgreSQL**", a déclaré **Drupal** dans son avis. Une exploitation réussie pourrait entraîner : * Divulgation d'informations * Escalade de privilèges * Exécution de code à distance ### Versions Affectées et Atténuation La vulnérabilité peut être exploitée par des utilisateurs anonymes et affecte spécifiquement les sites utilisant **PostgreSQL**. Les versions suivantes contiennent les correctifs nécessaires : * Drupal 11.3.10 * Drupal 11.2.12 * Drupal 11.1.10 * Drupal 10.6.9 * Drupal 10.5.10 * Drupal 10.4.10 **Drupal** 7 n'est pas affecté par cette vulnérabilité. Les versions mises à jour pour les branches supportées (versions 11.3, 11.2, 10.6 et 10.5) intègrent également des mises à jour de sécurité upstream pour **Symfony** et **Twig**, soulignant l'importance d'installer les dernières versions. ### Versions en Fin de Vie (EOL) Des correctifs manuels ont été publiés pour les versions 9 et 8 de **Drupal**, qui ont atteint leur fin de vie (EOL) : * Drupal 9.5 * Drupal 8.9 **Drupal** a averti que les versions 11.1.x, 11.0.x, 10.4.x et inférieures sont en fin de vie (EOL) et ne recevront plus de couverture de sécurité. Bien que des correctifs soient fournis pour les versions non supportées dans la mesure du possible, ces versions peuvent toujours être vulnérables à des failles de sécurité précédemment divulguées.