Publié le

Urgent : Injection SQL critique dans Drupal Core (SA-CORE-2026-004) – Mettez à jour votre Drupal

Mathieu LE CAIN
Expert E-Commerce, Drupal, IA / RAG / MCP & OroCommerce
Drupal
Cyber security
Partager sur LinkedIn

 

Une vulnérabilité critique (20/25) vient d’être publiée dans Drupal Core : avec notamment une injection SQL exploitable par des utilisateurs anonymes, affectant uniquement les sites utilisant PostgreSQL. Les attaquants pourraient voler des données, escalader des privilèges ou exécuter du code à distance.

Chez IOSAN, nous avons déjà sécurisé les sites de nos clients. Et le vôtre ?

Votre site est-il concerné ?

  • Version de Drupal : Toutes les versions de 8.9.0 à 11.3.9 (sauf patchées).
  • Base de données : PostgreSQL uniquement (MySQL/MariaDB ne sont pas concernés par cette faille).
  • Autres risques : Même avec MySQL, cette mise à jour corrige aussi des failles critiques dans Symfony et Twig.

La page officielle: https://www.drupal.org/sa-core-2026-004

 

Sécurisez votre site Drupal aujourd'hui.

Un expert IOSAN évalue votre exposition et vous propose rapidement une solution adaptée.

 

Explications techniques

Pourquoi uniquement PostgreSQL ?

Le driver PostgreSQL de Drupal gère mal les tableaux associatifs dans les requêtes SQL (ex: clauses IN). Un attaquant peut injecter du SQL via les clés du tableau.

Exemple de correction :

if (is_array($condition['value'])) {
  $condition['value'] = array_values($condition['value']); // Supprime les clés
}

Le driver MySQL utilise les valeurs positionnées et ne prend pas en compte les clés.

Autres failles corrigées (Symfony & Twig)

Même si vous n’utilisez pas PostgreSQL, cette mise à jour inclut :

  • Symfony : Vulnérabilités non détaillées (risque élevé).
  • Twig : Une faille permet de contourner les restrictions sur l’appel à __toString()** sur des objets, pouvant fuiter des données sensibles.

Exemple d’exploitation (Twig) :

{% trans %}{{ objet_non_autorisé|somefilter }}{% endtrans %}

Si objet_non_autorisé::__toString() retourne des infos sensibles (ex: clés API, mots de passe), un attaquant peut les récupérer via des templates malveillants.

→ Action :

  • Mettez à jour même si vous utilisez MySQL.
  • Auditez les rôles pouvant modifier des templates Twig (ex: via Views ou modules contrib).

Que faire ?

Mettez à jour vers :

  • Drupal 11.3.x → 11.3.10
  • Drupal 11.2.x → 11.2.12
  • Drupal 11.1.x/11.0.x → 11.1.10
  • Drupal 10.6.x → 10.6.9
  • Drupal 10.5.x → 10.5.10
  • Drupal 10.4.x → 10.4.10
  • Drupal 9.5.x/8.9.x → Patch manuel (lien officiel)

 

IOSAN maintient votre site Drupal

Notre agence web et transformation digitale vous accompagne à 360° sur vos projets digitaux avant, pendant et après leur mise en oeuvre.

Nos valeurs : expertise, réactivité et pragmatisme dans une relation long terme avec nos clients.

Drupal
Cyber security

Ce contenu est mis à disposition selon les termes de la Creative Commons - Attribution - Pas d'Œuvre dérivée 4.0 International.
Vous êtes libre de :

  • Partager — copier, distribuer et communiquer le contenu par tous moyens et sous tous formats,
    à condition de :
    • Créditer l’œuvre (mentionner le nom IOSAN et fournir un lien vers l’article original),
    • Ne pas modifier le contenu,
    • Ne pas utiliser ce contenu à des fins commerciales sans autorisation écrite.

Voir aussi

Du THEMING au Drupalcamp Paris
Événement

Du THEMING au Drupalcamp Paris

Session DrupalCamp Paris 2019 - Les bonnes pratiques sous Drupal 8
Événement

Session DrupalCamp Paris 2019 - Les bonnes pratiques sous Drupal 8

Meetup AFUP du 24 janvier 2019 - Découverte de Drupal et ses bonnes pratiques
Événement

Meetup AFUP du 24 janvier 2019 - Découverte de Drupal et ses bonnes pratiques