Drupal Core : une SQLi exploitée moins de 48 h après le correctif
- Drupal Core - toutes versions supportees
Cette vulnérabilité est inscrite au catalogue des vulnérabilités activement exploitées de la CISA. Traitement prioritaire recommandé.
Le contexte
Une injection SQL (CWE-89) dans la couche d'abstraction de base de données de Drupal Core, exploitable via des requêtes spécialement forgées, permettant une élévation de privilèges et une exécution de code à distance. Toutes les versions supportées sont concernées, et la CVE figure au KEV.
Point notable : l'exploitation a été observée moins de 48 heures après la publication du correctif - illustration directe de la compression du délai entre divulgation et arme opérationnelle. Le score CVSS de 6.5 ne doit pas tromper : le statut KEV et la RCE accessible en font une priorité réelle.
Remédiation
- Appliquer immédiatement le correctif Drupal Core pour votre branche.
- Inspecter les journaux d'accès à la recherche de requêtes anormales depuis la date de divulgation (la fenêtre d'exploitation a précédé de peu, voire suivi de très près, beaucoup de mises à jour).
Ce qu'il faut retenir
48 heures, c'est moins que le cycle de patch de beaucoup d'organisations. Sur un CMS aussi répandu, la discipline de mise à jour rapide et la revue de logs post-divulgation ne sont pas optionnelles : une note CVSS moyenne couplée à un KEV et à une RCE se traite comme une urgence, pas comme un correctif de routine.
- Kreomnis
Références
- nvd NVD - CVE-2026-9082
- vendor Avis de sécurité Drupal
- cisa CISA KEV