Le CMS Drupal, utilisé par des millions de sites web dans le monde, vient de publier un correctif de sécurité d’urgence pour une vulnérabilité classée « hautement critique ».
La faille, identifiée sous la référence SA-CORE-2026-004, concerne le cœur même de Drupal et pourrait permettre à un attaquant distant d’exécuter une attaque par injection SQL sans authentification.
Une faille particulièrement dangereuse
Selon l’équipe sécurité de Drupal, cette vulnérabilité présente un niveau de risque de 20/25, soit la catégorie « Highly Critical ».
Le danger est tel que Drupal avait exceptionnellement prévenu les administrateurs plusieurs jours avant la publication du correctif afin qu’ils préparent immédiatement leurs mises à jour.
Les experts craignent notamment la création rapide d’exploits publics après l’analyse du patch, un scénario déjà observé lors des précédentes crises majeures touchant Drupal comme Drupalgeddon.
Des attaques possibles sans compte utilisateur
La vulnérabilité permettrait à un attaquant distant d’interagir directement avec la base de données du site via une injection SQL.
Ce type d’attaque peut potentiellement conduire à :
- l’exfiltration de données ;
- la compromission de comptes administrateurs ;
- la modification du contenu des sites ;
- l’exécution de code malveillant ;
- la prise de contrôle complète du serveur.
Les chercheurs indiquent également que la faille ne nécessite aucune authentification dans certaines configurations, ce qui augmente fortement le risque d’exploitation automatisée à grande échelle.
De nombreuses versions concernées
Les branches actuellement supportées de Drupal sont concernées, notamment :
- Drupal 11.3.x ;
- Drupal 11.2.x ;
- Drupal 10.6.x ;
- Drupal 10.5.x.
Des correctifs ont également été publiés exceptionnellement pour certaines versions arrivées en fin de vie afin de limiter les risques d’exploitation massive.
Des millions de sites potentiellement ciblés
Drupal reste l’un des CMS les plus utilisés dans les environnements institutionnels, universitaires, gouvernementaux et médiatiques. De nombreux grands groupes, administrations et organisations internationales utilisent encore cette technologie.
Compte tenu de la criticité de la faille et de la rapidité avec laquelle des exploits pourraient apparaître, les administrateurs sont fortement invités à appliquer les mises à jour de sécurité immédiatement.