Les administrateurs de la plateforme de gestion de contenu open source Drupal s'empressent d'installer un correctif d'urgence publié afin de corriger une faille de sécurité « hautement critique » de type injection SQL dans le cœur de l'application. Bien que cette faille ne concerne que les sites web utilisant la base de données PostgreSQL, des problèmes en amont pourraient affecter Symfony, un ensemble de paquets PHP et de frameworks d'applications web utilisés par Drupal, ainsi que Twig, un moteur de modèles open source pour le langage de programmation PHP. En conséquence, Twig a été mis à jour vers la version 3.26.0, et Symfony a publié une série d'avis de sécurité. Par conséquent, Drupal invite instamment les administrateurs utilisant ces applications à les mettre à jour également, que la vulnérabilité d'injection SQL affecte ou non leurs systèmes. Heureusement, le correctif Drupal publié aujourd'hui inclut des mises à jour pour Symfony et Twig. La faille au cœur de Drupal, identifiée en tant que CVE-2026-9082, se trouve dans une API d'abstraction de base de données qui garantit que les requêtes adressées à la base de données sont nettoyées afin d'empêcher les attaques par injection SQL.

Dans son avertissement, Drupal a indiqué qu'une vulnérabilité dans cette API permettait à un attaquant d'envoyer des requêtes spécialement conçues pouvant entraîner une injection SQL arbitraire sur les sites utilisant des bases de données PostgreSQL. Cela peut conduire à la divulgation d'informations et, dans certains cas, à une élévation de privilèges, à l'exécution de code à distance (RCE) ou à d'autres attaques. La vulnérabilité peut être exploitée par des utilisateurs anonymes. Les administrateurs Drupal savaient depuis lundi qu'une mise à jour de sécurité du noyau pour toutes les branches prises en charge était imminente. L'équipe de sécurité de Drupal avait exhorté les administrateurs à réserver du temps pour les mises à jour le 20 mai « car des exploits pourraient être développés en quelques heures ou quelques jours ». Les correctifs Drupal couvrent les branches prises en charge dans les versions 11.3, 11.2, 10.6 et 10.5 de Drupal. Après avoir installé le correctif, les administrateurs doivent passer à une version plus récente du logiciel. Les versions antérieures à 11.1.x, 11.0.x et 10.4.x sont en fin de vie et ne peuvent pas bénéficier des correctifs officiels. Cependant, en raison de la gravité de la faille, Drupal publiera prochainement des correctifs non pris en charge, fournis dans la mesure du possible. Les utilisateurs de n'importe quelle version de Drupal 9 peuvent essayer d'appliquer manuellement le correctif Drupal 9.5. Les utilisateurs de Drupal 8.9 peuvent essayer d'appliquer manuellement le correctif Drupal 8.9. Mais ces versions non prises en charge continueront de contenir d'autres failles de sécurité déjà connues. Drupal 7 n'est pas concerné.

Les utilsateurs de MySQL ou SQLite aussi concernés

Les sites qui utilisent le pare-feu d'application web Drupal Steward sont déjà protégés contre les vecteurs d'attaque connus, mais devraient procéder à une mise à jour dans un avenir proche au cas où d'autres vecteurs d'attaque seraient découverts, a déclaré la société. « C'est une vulnérabilité très grave », a commenté Robert Enderle, consultant à la tête de l'Enderle Group. « C'est aussi grave que cela en a l'air. » Les administrateurs Drupal doivent appliquer le correctif dès maintenant, a-t-il ajouté. Mettez à jour le cœur de Drupal immédiatement, en vous basant sur la branche actuellement prise en charge. Ceux qui « traînent encore les pieds » sur les versions 8 ou 9 de Drupal, non prises en charge et en fin de vie, doivent appliquer les correctifs manuels fournis, qui constituent le meilleur effort possible. Mieux encore, a-t-il ajouté, ils devraient donner la priorité à la migration vers une version moderne de Drupal dès que possible. « Ne l'ignorez pas si vous n'utilisez pas PostgreSQL », a souligné M. Enderle. « Même si le service informatique utilise MySQL ou SQLite et pense être à l'abri du bug principal [de Drupal], il doit tout de même appliquer la mise à jour. Cette version inclut des correctifs de sécurité critiques en amont pour les dépendances Symfony et Twig qui affectent tous les environnements. » De plus, a-t-il ajouté, les administrateurs doivent verrouiller les autorisations d'accès. En raison des vulnérabilités de Twig, le service informatique doit vérifier qui a réellement la possibilité de mettre à jour les modèles Twig via Views ou d'autres modules, et restreindre cet accès aux seuls administrateurs de confiance. M. Enderle a également exhorté les administrateurs à examiner leurs journaux PostgreSQL et ceux du pare-feu des applications web à la recherche de « toute activité inhabituelle d'utilisateurs anonymes ou de requêtes SQL suspectes ayant conduit à ce correctif ».

Fritz Jean-Louis, conseiller principal en cybersécurité chez Info-Tech Research Group, a convenu que les administrateurs Drupal devaient agir sans délai, car cette faille peut être exploitée par toute personne disposant des connaissances techniques nécessaires pour envoyer une requête spécialement conçue à une base de données Postgres, les bases de données Drupal pouvant contenir des informations personnelles sensibles susceptibles d’être exploitées par un acteur malveillant. Il a également souligné qu’il était frustrant de constater que des failles de type injection SQL continuaient d’être découvertes. « En tant que secteur, nous sommes à court d'excuses » pour expliquer pourquoi elles continuent d'apparaître dans les applications, a-t-il déclaré. Cette vulnérabilité et d'autres vulnérabilités similaires liées à l'injection SQL témoignent des faiblesses dans les cycles de développement des applications de certaines entreprises.