Vulnérabilité critique dans Drupal
.png)
Produits concernés
• Drupal toutes branches supportées (version 11.3.x, 11.2.x, 10.6.x, 10.5.x) et versions end-of-life
Prérequis
• Accès à un CMS Drupal
Risques
• Compromission de l’instance Drupal
• Modification du site web
• Vol de données
• Exécution de code arbitraire
Résumé
Une vulnérabilité critique affectant la solution Drupal a récemment été fait l’objet d’un bulletin de sécurité anticipé par l’éditeur le 18 mai 2026.
Cette vulnérabilité est considérée comme critique et aucun détail technique n’a été communiqué à ce stade, afin de limiter les risques d’exploitation par des attaquants. Nous estimons le score CVSSv3.1 à 9.8.
Drupal est un CMS permettant de créer et de gérer des sites web.
La vulnérabilité est en cours de correction, et un correctif devrait être publié dans la soirée du 20 mai. Elle pourrait notamment permettre à un attaquant non authentifié de compromettre une instance Drupal possédant une configuration spécifique.
Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur Internet lorsque le correctif sera disponible.
Solutions
Remédiation :
Mettre à jour Drupal dès la publication du correctif, prévue entre 17:00 et 21:00 UTC le 20 mai.
Attention : au moment de la diffusion de ce bulletin, les correctifs ne sont pas encore disponibles.
Le détail est disponible dans les liens en références.
Références
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
