Les environnements informatiques utilisant Symfony et Twig doivent également être mis à jour.
Les administrateurs de la plateforme de gestion de contenu open source Drupal s’empressent d’installer un correctif d’urgence publié aujourd’hui pour corriger une vulnérabilité d’injection SQL « hautement critique » au cœur de l’application.
Bien que la vulnérabilité n’affecte que les sites Web qui utilisent la base de données PostgreSQL, des problèmes en amont peuvent survenir avec Symfony, un ensemble de packages PHP et de frameworks d’applications Web utilisés par Drupal, et Twig, un moteur de modèles open source pour le langage de programmation PHP. Par conséquent, Twig a été mis à jour vers la version 3.26.0 et Symfony a publié une série d’avis de sécurité.
En conséquence, Drupal exhorte les administrateurs utilisant ces applications à les mettre également à jour, que la vulnérabilité d’injection SQL affecte ou non leurs systèmes. Heureusement, le correctif Drupal publié aujourd’hui inclut des mises à jour pour Symfony et Twig.
La vulnérabilité au cœur de Drupal, CVE-2026-9082, réside dans une API d’abstraction de base de données qui garantit que les requêtes sur la base de données sont nettoyées pour empêcher les attaques par injection SQL.
Dans son avertissement, Drupal a déclaré qu’une vulnérabilité dans cette API permet à un attaquant d’envoyer des requêtes spécialement conçues, entraînant une injection SQL arbitraire pour les sites utilisant des bases de données PostgreSQL. Cela peut conduire à la divulgation d’informations et, dans certains cas, à une élévation de privilèges, à l’exécution de code à distance (RCE) ou à d’autres attaques.
La vulnérabilité peut être exploitée par des utilisateurs anonymes.
Les administrateurs Drupal savent depuis lundi que la version de sécurité principale pour toutes les branches prises en charge allait arriver. L’équipe de sécurité de Drupal a exhorté les administrateurs à réserver du temps pour les mises à jour du 20 mai « car des exploits pourraient être développés en quelques heures ou jours ».
Les correctifs Drupal couvrent les branches prises en charge 11.3, 11.2, 10.6 et 10.5. Après avoir installé le correctif, les administrateurs doivent mettre à jour vers une version plus récente du logiciel.
Les versions inférieures à 11.1.x, 11.0.x et 10.4.x sont en fin de vie et ne sont pas éligibles aux correctifs officiels. Cependant, en raison de la gravité de la faille, Drupal publiera prochainement des correctifs non pris en charge qui sont fournis dans la mesure du possible. Les utilisateurs de n’importe quelle version de Drupal 9 peuvent essayer d’appliquer manuellement le correctif Drupal 9.5. Les utilisateurs de Drupal 8.9 peuvent essayer d’appliquer manuellement le correctif Drupal 8.9. Mais ces versions non prises en charge contiennent encore d’autres vulnérabilités de sécurité précédemment révélées.
Drupal 7 n’est pas affecté.
Les sites qui utilisent le pare-feu d’application Web Drupal Steward sont déjà protégés contre les vecteurs d’attaque connus, mais devraient être mis à niveau dans un avenir proche au cas où de nouveaux vecteurs d’attaque seraient découverts, a indiqué la société.
«C’est une vilaine vulnérabilité», a commenté Robert Enderle, consultant à la tête du groupe Enderle. « C’est aussi grave que ça en a l’air. »
Les administrateurs Drupal doivent appliquer les correctifs dès maintenant, a-t-il déclaré. Mettez à jour Drupal Core immédiatement, en fonction de la branche actuellement prise en charge. Ceux qui « traînent encore les pieds » sur les versions 8 ou 9 de Drupal non prises en charge et en fin de vie doivent appliquer les correctifs manuels fournis au mieux. Mieux encore, a-t-il ajouté, ils devraient donner la priorité à la migration vers une version moderne de Drupal dès que possible.
« Ne l’ignorez pas si vous n’êtes pas sur PostgreSQL », a souligné Enderle. « Même si le service informatique exécute MySQL ou SQLite et pense être à l’abri du bug principal (Drupal), il doit quand même appliquer la mise à jour. Cette version inclut des correctifs de sécurité critiques en amont pour les dépendances Symfony et Twig qui affectent tous les environnements. »
De plus, a-t-il ajouté, les administrateurs doivent verrouiller les autorisations d’accès. En raison des vulnérabilités de Twig, le service informatique doit vérifier qui a réellement la capacité de mettre à jour les modèles Twig via des vues ou d’autres modules et restreindre cet accès aux administrateurs de confiance uniquement.
Enderle a également exhorté les administrateurs à examiner leurs journaux de pare-feu PostgreSQL et d’applications Web pour « toute activité étrange d’utilisateur anonyme ou requêtes SQL suspectes menant à ce correctif ».
Fritz Jean-Louis, conseiller principal en cybersécurité chez Info-Tech Research Group, a convenu que les administrateurs Drupal doivent agir immédiatement, car la vulnérabilité peut être exploitée par toute personne possédant les connaissances techniques nécessaires pour envoyer une requête spécialement conçue à une base de données Postgres, car les bases de données Drupal peuvent contenir des informations personnelles sensibles qui peuvent être exploitées par un acteur malveillant.
Il est également frustrant, a-t-il déclaré, que des vulnérabilités liées à l’injection SQL soient encore découvertes. « En tant qu’industrie, nous sommes à court d’excuses » pour justifier leur apparition dans les applications, a-t-il déclaré. Cette vulnérabilité et d’autres vulnérabilités similaires liées à l’injection SQL témoignent de faiblesses dans les cycles de vie de développement d’applications de certaines organisations.
