IRCNF
Security

Drupal corrige une faille PostgreSQL pouvant mener à une exécution de code à distance

The Hacker News
Partager:
Drupal corrige une faille PostgreSQL pouvant mener à une exécution de code à distance

Drupal a publié des correctifs de sécurité urgents pour CVE-2026-9082, une faille spécifique à PostgreSQL dans le noyau Drupal qui permet à des attaquants anonymes d'envoyer des requêtes malveillantes et de déclencher des injections SQL arbitraires. Dans le pire des cas, Drupal indique que le bogue peut entraîner une divulgation d'informations, une élévation de privilèges ou une exécution de code à distance.

Le problème est critique car il se situe dans la couche d'abstraction de base de données de Drupal, un code que de nombreux propriétaires de sites examinent rarement, censé nettoyer les requêtes avant qu'elles n'atteignent la base. Quand cette couche cède, le rayon d'impact dépasse un simple module : la vulnérabilité affecte le traitement central des requêtes sur les sites utilisant PostgreSQL, ce qui signifie que les attaquants n'ont pas nécessairement besoin d'un compte authentifié pour commencer à sonder l'accès.

Selon les détails relayés par The Hacker News, la faille ne touche que les déploiements Drupal utilisant PostgreSQL plutôt que MySQL ou MariaDB. Drupal a publié des versions corrigées pour les branches maintenues, notamment 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10. Drupal 7 n'est pas concerné, tandis que les branches non supportées Drupal 8 et Drupal 9 ont reçu des correctifs manuels de dernier recours en raison de la gravité du bogue.

Cette liste de versions est un signal important pour les administrateurs. Si une équipe exploite encore une branche en fin de vie, cet avis rappelle qu'un logiciel non maintenu peut rapidement transformer un bogue de base de données en un incident de réponse plus large. Même pour les branches supportées, corriger uniquement le paquet de base ne suffit pas si les environnements de staging, de sauvegarde ou secondaires restent sur des versions plus anciennes.

Pour les équipes de sécurité, la tâche immédiate est simple : identifier chaque site Drupal utilisant PostgreSQL, mettre à jour vers la branche corrigée, et examiner les journaux à la recherche de requêtes non authentifiées suspectes ciblant les endpoints liés à la base de données. La source de l'information provient de The Hacker News, sur la base de l'avis de sécurité et des recommandations de Drupal.

securitydrupalpostgresqlrcesql-injectioncve-2026-9082

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Partager: