Publié le

Urgent : Injection SQL critique dans Drupal Core (SA-CORE-2026-004) – Mettez à jour votre Drupal

Mathieu LE CAIN
Expert E-Commerce, Drupal, IA / RAG / MCP & OroCommerce
Drupal
Cyber security
Partager sur LinkedIn

 

Une vulnérabilité critique (20/25) vient d’être publiée dans Drupal Core : avec notamment une injection SQL exploitable par des utilisateurs anonymes, affectant uniquement les sites utilisant PostgreSQL. Les attaquants pourraient voler des données, escalader des privilèges ou exécuter du code à distance.

Chez IOSAN, nous avons déjà sécurisé les sites de nos clients. Et le vôtre ?

Votre site est-il concerné ?

  • Version de Drupal : Toutes les versions de 8.9.0 à 11.3.9 (sauf patchées).
  • Base de données : PostgreSQL uniquement (MySQL/MariaDB ne sont pas concernés par cette faille).
  • Autres risques : Même avec MySQL, cette mise à jour corrige aussi des failles critiques dans Symfony et Twig.

La page officielle: https://www.drupal.org/sa-core-2026-004

 

Sécurisez votre site Drupal aujourd'hui.

Un expert IOSAN évalue votre exposition et vous propose rapidement une solution adaptée.

 

Explications techniques

Pourquoi uniquement PostgreSQL ?

Le driver PostgreSQL de Drupal gère mal les tableaux associatifs dans les requêtes SQL (ex: clauses IN). Un attaquant peut injecter du SQL via les clés du tableau.

Exemple de correction :

if (is_array($condition['value'])) {
  $condition['value'] = array_values($condition['value']); // Supprime les clés
}

Le driver MySQL utilise les valeurs positionnées et ne prend pas en compte les clés.

Autres failles corrigées (Symfony & Twig)

Même si vous n’utilisez pas PostgreSQL, cette mise à jour inclut :

  • Symfony : Vulnérabilités non détaillées (risque élevé).
  • Twig : Une faille permet de contourner les restrictions sur l’appel à __toString()** sur des objets, pouvant fuiter des données sensibles.

Exemple d’exploitation (Twig) :

{% trans %}{{ objet_non_autorisé|somefilter }}{% endtrans %}

Si objet_non_autorisé::__toString() retourne des infos sensibles (ex: clés API, mots de passe), un attaquant peut les récupérer via des templates malveillants.

→ Action :

  • Mettez à jour même si vous utilisez MySQL.
  • Auditez les rôles pouvant modifier des templates Twig (ex: via Views ou modules contrib).

Que faire ?

Mettez à jour vers :

  • Drupal 11.3.x → 11.3.10
  • Drupal 11.2.x → 11.2.12
  • Drupal 11.1.x/11.0.x → 11.1.10
  • Drupal 10.6.x → 10.6.9
  • Drupal 10.5.x → 10.5.10
  • Drupal 10.4.x → 10.4.10
  • Drupal 9.5.x/8.9.x → Patch manuel (lien officiel)

 

IOSAN maintient votre site Drupal

Notre agence web et transformation digitale vous accompagne à 360° sur vos projets digitaux avant, pendant et après leur mise en oeuvre.

Nos valeurs : expertise, réactivité et pragmatisme dans une relation long terme avec nos clients.

Drupal
Cyber security

Ce contenu est mis à disposition selon les termes de la Creative Commons - Attribution - Pas d'Œuvre dérivée 4.0 International.
Vous êtes libre de :

  • Partager — copier, distribuer et communiquer le contenu par tous moyens et sous tous formats,
    à condition de :
    • Créditer l’œuvre (mentionner le nom IOSAN et fournir un lien vers l’article original),
    • Ne pas modifier le contenu,
    • Ne pas utiliser ce contenu à des fins commerciales sans autorisation écrite.

Voir aussi

Authentification forte de Paiement (SCA) ou DSP2, on prend son temps
Actualité

Authentification forte de Paiement (SCA) ou DSP2, on prend son temps

Mon Drupal est en fin de vie
Actualité

Mon Drupal est en fin de vie

Configuration minimum pour lancer phpunit avec Drupal
Tutoriel

Configuration minimum pour lancer phpunit avec Drupal