Drupal, le CMS de référence du secteur public, est frappé par une injection SQL critique exploitable sans authentification. La CISA exige un patch avant mardi.
Drupal a connu deux crises majeures d'injection SQL en douze ans. La première, en octobre 2014, avait gagné le surnom de « Drupalgeddon » (CVE-2014-3704). La deuxième, en mars 2018, celui de « Drupalgeddon2 » (CVE-2018-7600). Le 20 mai 2026, l'équipe de sécurité du CMS a publié l'avis SA-CORE-2026-004 pour une troisième vulnérabilité du même type, classée « hautement critique » avec un score de 23 sur 25. Deux jours plus tard, la CISA ajoutait la CVE-2026-9082 à son catalogue des failles activement exploitées dans la nature.
Une injection SQL anonyme, sans authentification
La vulnérabilité touche le module PostgreSQL du cœur de Drupal. Le problème se situe dans le fichier core/modules/pgsql/src/EntityQuery/Condition.php, où certaines requêtes sont encapsulées dans une fonction LOWER() sans neutralisation correcte des paramètres. Un attaquant non authentifié peut injecter du code SQL via deux vecteurs : le endpoint JSON du formulaire de connexion et l'API JSON:API. Un POST vers le endpoint de login provoque une erreur HTTP 500 avec un message SQLSTATE[22012] sur les installations vulnérables, ce qui permet de confirmer la cible avant d'exploiter.
Imperva, filiale du groupe Thales, a publié le 22 mai une analyse de l'exploitation en cours. L'entreprise a observé plus de 15 000 tentatives d'attaque ciblant près de 6 000 sites dans 65 pays. Les secteurs du gaming et des services financiers concentrent environ la moitié des attaques documentées. La CISA a fixé la date limite de correction pour les agences fédérales américaines au 27 mai.
Les versions corrigées couvrent l'ensemble des branches maintenues : Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10. Des correctifs exceptionnels ont été publiés pour Drupal 8.9 et 9.5, deux branches officiellement en fin de vie. La mise à jour inclut également des correctifs pour Symfony et Twig. Les installations MySQL et SQLite doivent donc également patcher, même si elles ne sont pas directement exposées à l'injection SQL PostgreSQL.
Pourquoi le secteur public français est directement concerné
Drupal est historiquement le CMS recommandé par l'administration française pour les sites institutionnels. La DINUM l'a inscrit dans ses préconisations techniques pendant plusieurs années, et l'écosystème reste actif en France avec une communauté structurée de développeurs et d'intégrateurs. Des universités, des collectivités territoriales et des sites en .gouv.fr tournent sur Drupal, souvent sur des versions qui ne sont pas systématiquement mises à jour dans les délais recommandés par les avis de sécurité.
Le précédent de mars 2018 avait démontré la vitesse à laquelle ce type de faille est industrialisé. Quelques heures après la publication du correctif Drupalgeddon2, des scanners automatisés balayaient déjà l'ensemble du web à la recherche d'installations non patchées. L'injection SQL reste l'un des vecteurs d'attaque les plus exploités parce qu'elle ne nécessite ni outillage spécifique ni accès préalable au système cible.
Les administrateurs qui gèrent des instances Drupal sous PostgreSQL doivent appliquer le correctif avant le 27 mai. Ceux qui utilisent MySQL ou SQLite restent concernés par les mises à jour Symfony et Twig. La CVE-2026-9082 n'est pas une faille théorique : elle est exploitée, documentée par Thales, et les délais de correction se comptent en jours.
