**Drupal** avertit les administrateurs que des pirates tentent activement d'exploiter une vulnérabilité d'injection SQL « hautement critique » annoncée plus tôt cette semaine. Le projet de système de gestion de contenu (CMS) a initialement publié un avis de sécurité le 18 mai, exhortant les administrateurs à appliquer les mises à jour du noyau pour résoudre un problème que les acteurs de la menace étaient censés exploiter rapidement. ### Détails de CVE-2026-9082 La faille, identifiée comme **CVE-2026-9082**, a été découverte par le chercheur **Google/Mandiant** Michael Maturi. Elle réside dans l'API d'abstraction de base de données de Drupal, permettant à des requêtes spécialement conçues de déclencher une injection SQL arbitraire sur les sites utilisant **PostgreSQL**. L'injection SQL est une vulnérabilité critique où les attaquants injectent des commandes SQL malveillantes dans les requêtes de base de données via des champs de saisie utilisateur ou des dialogues sur les sites web. Cela peut entraîner un accès non autorisé, une modification ou une suppression de données de la base de données. La vulnérabilité est exploitable sans authentification, ce qui augmente sa gravité et son impact potentiel. Dans un avis mis à jour le 22 mai, Drupal a officiellement confirmé que des tentatives d'exploitation ont été détectées en production. « Le score de risque a été mis à jour pour refléter que des tentatives d'exploitation sont maintenant détectées en production », indique l'avis mis à jour. Drupal a classé la vulnérabilité en interne comme « hautement critique », lui attribuant un score de 23 sur 25. Cependant, le **NIST** l'a classée comme « gravité moyenne » sur la base d'un score CVSS v3 de 6,5. ### Impact et Recommandations CVE-2026-9082 affecte un large éventail de versions de Drupal, notamment : * Drupal 8.9.x * Drupal 10.4.x avant 10.4.10 * Drupal 10.5.x avant 10.5.10 * Drupal 10.6.x avant 10.6.9 * Drupal 11.0.x / 11.1.x avant 11.1.10 * Drupal 11.2.x avant 11.2.12 * Drupal 11.3.x avant 11.3.10 Il est fortement recommandé aux propriétaires de sites web et aux administrateurs de passer immédiatement à la dernière version disponible pour leur branche respective. Même ceux qui n'utilisent pas PostgreSQL sont encouragés à mettre à jour, car les dernières mises à jour de sécurité incluent des correctifs pour les dépendances en amont, notamment **Symfony** et **Twig**. L'avis souligne que Drupal 8 et 9 sont en fin de vie (EoL), et que les correctifs sont fournis sur une base « au mieux de nos capacités ». Cependant, ces branches contiennent toujours d'autres vulnérabilités connues, ce qui rend leur utilisation continue intrinsèquement risquée.