Des sites publics français exposés à une faille Drupal déjà exploitée par des hackers
Une nouvelle vulnérabilité affecte les sites utilisant Drupal, un système de gestion de contenu largement déployé. Cette faille, désignée sous la référence CVE-2026-9082, a été publiée le 20 mai et permet son exploitation sans aucune authentification. Selon Imperva, une filiale de Thales, plus de 15 000 tentatives d’attaque ont été relevées sur environ 6 000 sites dans 65 pays. La CISA américaine a fixé un délai pour le correctif au 27 mai, tandis que la France n’a pas encore établi de date limite officielle. De nombreux sites publics fonctionnent sur des versions obsolètes de Drupal.
En douze ans, Drupal a connu trois importantes injections SQL : Drupalgeddon en 2014, Drupalgeddon2 en 2018, et maintenant la CVE-2026-9082. Le score de gravité de cette dernière atteint 23 sur 25, ce qui, selon la nomenclature de Drupal, nécessite un patch immédiat.
Le module PostgreSQL au cœur du problème
La vulnérabilité réside dans le module PostgreSQL de Drupal. Un fichier central du système encapsule certains paramètres dans une fonction LOWER() sans les neutraliser correctement, permettant ainsi à un attaquant d’injecter du code SQL depuis l’extérieur sans avoir besoin d’identifiants. Deux points d’entrée ont été identifiés : le endpoint JSON du formulaire de connexion et l’API REST. Un simple POST sur la page de login peut renvoyer une erreur HTTP 500, confirmant la vulnérabilité du site à l’attaquant.
Imperva a partagé des informations sur cette exploitation dès le 22 mai. Les secteurs du gaming et de la finance représentent la moitié des attaques observées, mais les institutions publiques sont également touchées. Deux jours après la publication d’un avis de sécurité, la CISA a ajouté cette faille à son catalogue de vulnérabilités activement exploitées.
Pourquoi la France devrait-elle se sentir très concernée ?
Drupal a été recommandé par la DINUM pour les sites institutionnels en France. Cependant, de nombreux sites ne sont pas mis à jour dans les délais requis. Les budgets limités, les lenteurs des marchés publics et des équipes IT souvent sous-dimensionnées compliquent la réaction rapide aux avis de sécurité. Le précédent de 2018, où des attaquants avaient rapidement scanné les sites après la publication du correctif Drupalgeddon2, souligne l’urgence de la situation actuelle.
Comment réagir ?
Des correctifs sont disponibles pour toutes les versions maintenues de Drupal, y compris les versions 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10. Des patchs ont même été publiés pour les versions 8.9 et 9.5, bien qu’elles soient officiellement en fin de vie. Les mises à jour incluent également des correctifs pour Symfony et Twig, ce qui signifie que les installations sur MySQL et SQLite doivent également être patchées.
Les administrateurs de sites publics français utilisant Drupal sous PostgreSQL doivent agir rapidement, car la date limite du 27 mai approche. Les hackers ne patienteront pas pour la mise en conformité administrative.
Source : Imperva, CISA
