A SQL injection vulnerability (CVE-2026-9082, CVSS 6.5) in Drupal specifically affects sites using PostgreSQL as their database backend. The flaw impacts multiple Drupal core versions, including 10.5.x before 10.5.10, 10.6.x before 10.6.9, 11.2.x before 11.2.12, and 11.3.x before 11.3.10, among other listed legacy branches. Administrators must apply the relevant patches detailed in Drupal security advisory SA-CORE-2026-004, with the vendor strongly recommending migration to a fully supported version for comprehensive protection.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 21 mai 2026 N° CERTFR-2026-AVI-0629 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Vulnérabilité dans Drupal Gestion du document Référence CERTFR-2026-AVI-0629 Titre Vulnérabilité dans Drupal Date de la première version 21 mai 2026 Date de la dernière version 21 mai 2026 Source(s) Bulletin de sécurité Drupal SA-CORE-2026-004 du 20 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risque Injection SQL (SQLi) Systèmes affectés Drupal versions 10.5.x antérieures à 10.5.10 Drupal versions 10.6.x antérieures à 10.6.9 Drupal versions 10.x antérieures à 10.4.10 Drupal versions 11.2.x antérieures à 11.2.12 Drupal versions 11.3.x antérieures à 11.3.10 Drupal versions 11.x antérieures à 11.1.10 Drupal versions 8.x antérieures à 8.9 sans le dernier correctif de sécurité Drupal versions 9.x antérieures à 9.5 sans le dernier correctif de sécurité L'éditeur rappelle que les versions 11.1.x, 11.0.x, 10.4.x, 9.x et 8.x sont en fin de vie et ne reçoivent un correctif pour la vulnérabilité CVE-2026-9082 qu'à titre exceptionnel, au vu de sa criticité. Ces versions n'incluent pas de correctif pour toutes les autres vulnérabilités découvertes depuis leurs fins de support respectives. L'éditeur invite donc à migrer vers une version supportée et à jour. Résumé Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une injection SQL (SQLi). L'éditeur précise que la vulnérabilité CVE-2026-9082 affecte uniquement les applications qui utilisent PostgreSQL comme système de gestion de base de données. Cependant, il recommande néanmoins l'installation du correctif pour toutes les instances du fait des mises à jour de dépendances également incluses dans les dernières versions. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Drupal SA-CORE-2026-004 du 20 mai 2026 https://drupal.org/sa-core-2026-004 Référence CVE CVE-2026-9082 https://www.cve.org/CVERecord?id=CVE-2026-9082 Gestion détaillée du document le 21 mai 2026 Version initiale