Faille Drupal CVE-2026-9082 : injection SQL critique sur les sites publics français
Le 20 mai 2026, Drupal a publié l’avis de sécurité SA-CORE-2026-004 pour une injection SQL critique (CVE-2026-9082) dans son module PostgreSQL. Score de gravité : 23 sur 25. Deux jours plus tard, la CISA ajoutait la faille à son catalogue des vulnérabilités activement exploitées, avec une date limite de correction fixée au 27 mai. En France, des milliers de sites publics (mairies, universités, plateformes .gouv.fr) tournent sur des versions de Drupal non mises à jour.
Impact : 15 000+ tentatives d’attaque sur 6 000 sites dans 65 pays (Imperva/Thales).
Vecteur : Exploitation à distance sans authentification, via le endpoint JSON de login et l’API REST.
Deadline CISA : 27 mai 2026 pour les agences fédérales américaines. Aucun délai officiel en France.
Risque pour vous : Si votre site utilise Drupal + PostgreSQL et n’est pas patché, il est vulnérable.
CVE-2026-9082 : le 3e Drupalgeddon en 12 ans
Drupal a connu deux crises majeures d’injection SQL en douze ans. La première, en octobre 2014, a gagné le surnom de Drupalgeddon (CVE-2014-3704). La seconde, en mars 2018, celui de Drupalgeddon2 (CVE-2018-7600). Le 20 mai 2026, l’équipe de sécurité du CMS a publié un troisième avis du même type, classé hautement critique avec un score de 23 sur 25 dans l’échelle de Drupal.
La vulnérabilité se niche dans le fichier core/modules/pgsql/src/EntityQuery/Condition.php du cœur de Drupal. Certaines requêtes sont encapsulées dans une fonction LOWER() sans neutralisation correcte des paramètres PHP. Un attaquant non authentifié peut injecter du code SQL via deux vecteurs :
Le endpoint JSON du formulaire de connexion et l’API JSON:API de Drupal.
Un simple POST sur la page de login renvoie une erreur HTTP 500 avec SQLSTATE[22012] sur les installations vulnérables, confirmant la cible avant exploitation.
L’exploitation permet d’accéder à toutes les données non publiques de la base, de modifier ou supprimer du contenu, d’escalader des privilèges, et dans certaines configurations d’obtenir une exécution de code à distance (RCE).
Date
Événement
18 mai 2026
Drupal publie PSA-2026-05-18, avertissant d’un correctif hautement critique à venir.
20 mai 2026
Avis de sécurité SA-CORE-2026-004. Correctifs publiés pour Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10, 10.4.10.
22 mai 2026
Imperva (Thales) observe 15 000+ tentatives sur 6 000 sites dans 65 pays. La CISA ajoute CVE-2026-9082 au catalogue KEV.
26 mai 2026
Clubic et Siècle Digital alertent sur les sites publics français exposés. Des universités et mairies ne sont toujours pas patchées.
27 mai 2026
Date limite CISA pour les agences fédérales américaines. Aucun délai officiel en France.
Pourquoi les sites publics français sont particulièrement exposés
Drupal n’a pas atterri dans les administrations françaises par hasard. La DINUM (Direction interministérielle du numérique) l’a recommandé pendant des années pour les sites institutionnels. Aujourd’hui, des milliers de mairies, universités et plateformes en .gouv.fr tournent sur ce CMS.
Le problème : beaucoup de ces sites ne sont pas mis à jour dans les délais. Les budgets manquent, les marchés publics ralentissent tout, et les équipes IT sont souvent trop réduites pour réagir en quelques jours à un avis de sécurité. Le précédent de 2018 devrait pourtant servir de leçon : après Drupalgeddon2, des attaquants avaient industrialisé leurs scans en quelques heures.
Une particularité importante : seuls les sites Drupal utilisant PostgreSQL sont vulnérables. Les installations MySQL, MariaDB et SQLite ne sont pas impactées par CVE-2026-9082. Mais la majorité des déploiements institutionnels français utilisent PostgreSQL.
🔴 Sites vulnérables
Drupal + PostgreSQL : Toutes les versions Drupal utilisant le module pgsql sont concernées.
Sites publics non patchés : Mairies, universités, plateformes .gouv.fr sous Drupal avec PostgreSQL.
Exploitation active : 15 000+ tentatives déjà observées par Imperva (filiale de Thales).
Drupal + MySQL/SQLite : La faille est spécifique au module PostgreSQL.
Sites Drupal derrière un WAF : ModSecurity/Imperva bloquent les tentatives d’exploitation connues.
Comment vérifier si votre site Drupal est vulnérable
Si vous administrez un site Drupal, voici les étapes à suivre immédiatement :
1. Vérifiez votre base de données
Consultez le fichier sites/default/settings.php de votre installation Drupal. Si vous trouvez 'driver' => 'pgsql' ou 'driver' => 'mysql', vous savez quel moteur est utilisé. Seul PostgreSQL est vulnérable.
2. Vérifiez votre version de Drupal
Connectez-vous à l’administration Drupal, allez dans Report > Available updates. Si votre version est inférieure à 11.3.10 (branche 11), 11.2.12 (branche 11.2), 10.6.9 (branche 10.6), vous êtes vulnérable.
3. Test rapide sans accès admin
Envoyez une requête POST vers /user/login?_format=json avec un corps JSON vide. Si vous recevez une erreur HTTP 500 avec SQLSTATE[22012], votre site est vulnérable. Un site patché renverra une erreur JSON normale (401/403).
⚠️ Urgence : La CISA exige un patch avant le 27 mai
La CISA (Cybersecurity & Infrastructure Security Agency) a ajouté CVE-2026-9082 à son catalogue Known Exploited Vulnerabilities. Les agences fédérales américaines ont 21 jours pour patcher. En France, aucun délai officiel n’a été fixé, mais les attaquants n’attendent pas.
Drupal a même publié des correctifs pour les versions 8.9 et 9.5, officiellement en fin de vie. Quand un éditeur corrige des branches qu’il ne supporte plus, c’est que la situation est critique.
Les leçons de Drupalgeddon 2014 et 2018
L’histoire se répète. Après Drupalgeddon (2014) et Drupalgeddon2 (2018), les attaquants ont industrialisé le scanning des sites non patchés en quelques heures. Imperva a confirmé que c’est déjà le cas pour CVE-2026-9082 : les tentatives ont commencé dès le 22 mai, deux jours après la publication du correctif.
La différence cette fois : l’exploitation est déjà active dans la nature (KEV CISA), pas seulement théorique. Les secteurs du gaming et de la finance concentrent la moitié des attaques observées, mais les institutions publiques françaises sont directement concernées.
Questions fréquentes
Qu’est-ce que CVE-2026-9082 ? ▼
C’est une injection SQL critique (score 23/25) dans le module PostgreSQL de Drupal core. Elle permet à un attaquant non authentifié d’exécuter des requêtes SQL arbitraires, d’accéder à toutes les données, et potentiellement d’obtenir une exécution de code à distance.
Mon site WordPress est-il concerné ? ▼
Non, cette vulnérabilité est spécifique à Drupal. WordPress, Joomla et les autres CMS ne sont pas impactés par CVE-2026-9082.
Suis-je vulnérable si j’utilise MySQL au lieu de PostgreSQL ? ▼
Non. CVE-2026-9082 est spécifique au module PostgreSQL de Drupal. Les installations Drupal avec MySQL, MariaDB ou SQLite ne sont pas affectées par cette faille.
Quelle version de Drupal installe-t-elle le correctif ? ▼
Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10, 10.4.10. Drupal a également publié des patchs pour les versions en fin de vie 8.9 et 9.5. Les mises à jour incluent aussi des correctifs pour Symfony et Twig.
Pourquoi la DINUM a-t-elle recommandé Drupal ? ▼
Drupal a été recommandé par la DINUM pour sa robustesse, son open source, et sa flexibilité pour les sites institutionnels. Le problème n’est pas Drupal lui-même, mais la difficulté des administrations à maintenir leurs sites à jour dans les délais requis.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
