CVE-2026-9082 : Drupal SQL injection sur PostgreSQL, 15 000 attaques en 48h

Les faits

Le 20 mai 2026, la Drupal Security Team a publié l'advisory SA-CORE-2026-004 révélant CVE-2026-9082, une vulnérabilité classée « hautement critique » sur son système de notation interne (20/25). La faille affecte l'API d'abstraction de base de données du cœur de Drupal dans sa gestion des requêtes sur les backends PostgreSQL. Un défaut dans la logique de sanitisation des entrées permet à un attaquant non authentifié d'injecter des commandes SQL arbitraires via des requêtes HTTP spécialement construites.

Le périmètre affecté couvre les versions de Drupal 8.9.0 jusqu'aux branches actives 11.3.x : spécifiquement les versions antérieures à 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 et 11.3.10. Seuls les sites utilisant PostgreSQL comme moteur de base de données sont directement exposés au vecteur d'injection SQL principal. Les installations fonctionnant sur MySQL ou MariaDB ne sont pas affectées par CVE-2026-9082 — un point important pour prioriser les actions dans les environnements hébergeant un parc mixte.

L'impact potentiel d'une exploitation réussie est sévère : extraction de l'intégralité des données stockées dans la base de données (comptes utilisateurs, contenus, configurations, données métier), modification ou suppression d'enregistrements, escalade de privilèges vers un compte administrateur Drupal, et dans certaines configurations serveur, exécution de code à distance via des fonctionnalités PostgreSQL avancées comme COPY TO/FROM ou les extensions de chargement de bibliothèques dynamiques. L'analyse de Horizon3.ai confirme que l'escalade vers une RCE est réaliste sur des configurations PostgreSQL avec des droits superutilisateur accordés au compte de la base de données Drupal.

La CISA a ajouté CVE-2026-9082 à son catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities, KEV) le 22 mai 2026, au titre de la directive BOD 22-01. Cette inclusion confirme l'exploitation active dans la nature et impose aux agences fédérales américaines une remédiation dans les délais réglementaires applicables. L'inscription au KEV intervient deux jours seulement après la publication du patch, témoignant de la rapidité avec laquelle des acteurs malveillants ont instrumentalisé la vulnérabilité après divulgation.

Les données d'Imperva publiées le 23 mai 2026 sont particulièrement alarmantes : en l'espace des quarante-huit heures suivant la disclosure publique, leurs sondes ont détecté plus de 15 000 tentatives d'exploitation ciblant environ 6 000 sites Drupal distincts, répartis dans 65 pays. Ce rythme d'exploitation rappelle les épisodes Drupalgeddon (CVE-2018-7600, CVSS 9.8) et Drupalgeddon 3 (CVE-2019-6340), lors desquels des dizaines de milliers de sites avaient été compromis dans les heures suivant la publication de PoC publics. La différence notable avec 2026 : les outils d'analyse de diff binaire assistés par IA accélèrent encore davantage la fenêtre de développement d'exploits fonctionnels à partir des patches publiés.

L'advisory de Berkeley Security, l'office de sécurité informatique de l'Université de Californie à Berkeley, précise que les profils d'attaque observés en mai 2026 montrent une prédominance de scanners automatisés en phase initiale, suivis dans certains cas de tentatives d'escalade de privilèges vers des comptes administrateurs. Les sites universitaires et gouvernementaux, qui constituent une part significative du parc Drupal mondial — Drupal propulse environ 4,6 % des CMS identifiés, avec une surreprésentation dans le secteur public et académique — sont particulièrement ciblés en raison de leur visibilité institutionnelle et de la valeur des données qu'ils hébergent.

Orca Security et Tenable ont publié des analyses techniques confirmant que le vecteur d'exploitation ne requiert aucune connaissance préalable de la configuration de la cible : les scanners automatisés peuvent identifier et attaquer des instances vulnérables de manière entièrement opportuniste. La réponse du projet Drupal a été rapide — un advisory préalable avait été publié le 18 mai via PSA-2026-05-18 pour prévenir les administrateurs et planifier les fenêtres de maintenance — mais la complexité des parcs Drupal en environnements multi-sites ou hébergés par des agences tiers ralentit souvent la cinétique de déploiement des correctifs.

En France, les administrations publiques, collectivités territoriales, hôpitaux et universités qui utilisent Drupal — et ils sont nombreux : le CMS est particulièrement apprécié dans le secteur public français pour ses capacités multilingues et sa conformité RGPD — doivent traiter cette remédiation comme prioritaire. Les entités couvertes par NIS2 ont l'obligation de gérer les vulnérabilités critiques dans des délais compatibles avec leur politique de gestion des risques cyber. Un CVSS équivalent à 9+ avec exploitation active en masse ne laisse aucune place à la procrastination dans les cycles de patch management habituels.

Impact et exposition

Sont directement exposés tous les sites Drupal des versions 8.9.0 à 11.3.9 utilisant PostgreSQL comme backend de base de données. Les installations en MySQL ou MariaDB ne sont pas exposées au vecteur principal CVE-2026-9082, bien que d'autres vulnérabilités sans rapport puissent les concerner. Les hébergeurs gérant des centaines de sites Drupal — agences web, hébergeurs spécialisés, plateformes cloud — doivent prioriser l'identification et la mise à jour de toutes les instances vulnérables dans leur parc. Les environnements multisite Drupal présentent un risque particulier : une compromission d'un site peut, selon la configuration, affecter l'ensemble du réseau de sites hébergé sur la même installation.

Recommandations

• Immédiat — Identifier toutes les installations Drupal de votre périmètre et leur backend de base de données ; pour les installations PostgreSQL, appliquer immédiatement les versions 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 ou 11.3.10 selon votre branche
• Vérifier la version via l'interface d'administration (Rapports > Mises à jour) ou via Drush : drush status — ne pas attendre la prochaine fenêtre de maintenance planifiée
• Les sites sur branches EOL (8.9, 9.5) qui n'ont pas migré doivent appliquer les patches manuels mis à disposition dans l'advisory SA-CORE-2026-004 et planifier une migration urgente vers une branche supportée
• Auditer les logs d'accès PostgreSQL et les logs applicatifs Drupal pour détecter des traces de tentatives d'exploitation — rechercher des patterns de requêtes SQL anormales ou des accès administrateurs depuis des IPs non attendues dans les jours précédant la découverte
• Activer ou renforcer le WAF applicatif pour bloquer les patterns d'injection SQL connus ciblant Drupal — les signatures de CVE-2026-9082 sont désormais disponibles dans la plupart des solutions WAF commerciales
• Pour les hébergeurs gérant des parcs multi-clients, déclencher les procédures de mise à jour d'urgence et informer proactivement les clients concernés