Risque
- Injection SQL (SQLi)
Systèmes affectés
- Drupal versions 10.5.x antérieures à 10.5.10
- Drupal versions 10.6.x antérieures à 10.6.9
- Drupal versions 10.x antérieures à 10.4.10
- Drupal versions 11.2.x antérieures à 11.2.12
- Drupal versions 11.3.x antérieures à 11.3.10
- Drupal versions 11.x antérieures à 11.1.10
- Drupal versions 8.x antérieures à 8.9 sans le dernier correctif de sécurité
- Drupal versions 9.x antérieures à 9.5 sans le dernier correctif de sécurité
L'éditeur rappelle que les versions 11.1.x, 11.0.x, 10.4.x, 9.x et 8.x sont en fin de vie et ne reçoivent un correctif pour la vulnérabilité CVE-2026-9082 qu'à titre exceptionnel, au vu de sa criticité.
Ces versions n'incluent pas de correctif pour toutes les autres vulnérabilités découvertes depuis leurs fins de support respectives. L'éditeur invite donc à migrer vers une version supportée et à jour.
Résumé
Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une injection SQL (SQLi).
L'éditeur précise que la vulnérabilité CVE-2026-9082 affecte uniquement les applications qui utilisent PostgreSQL comme système de gestion de base de données.
Cependant, il recommande néanmoins l'installation du correctif pour toutes les instances du fait des mises à jour de dépendances également incluses dans les dernières versions.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal SA-CORE-2026-004 du 20 mai 2026 https://drupal.org/sa-core-2026-004
- Référence CVE CVE-2026-9082 https://www.cve.org/CVERecord?id=CVE-2026-9082
