Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
- Injection de code indirecte à distance (XSS)
- Injection SQL (SQLi)
Systèmes affectés
- Drupal versions 10.6.x antérieures à 10.6.11
- Drupal versions 11.2.x antérieures à 11.2.14
- Drupal versions 11.3.x antérieures à 11.3.12
- Drupal versions antérieures à 10.5.12
Résumé
De multiples vulnérabilités ont été découvertes dans Drupal. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une injection SQL (SQLi) et une falsification de requêtes côté serveur (SSRF).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal SA-CORE-2019-003 du 17 juin 2026 https://drupal.org/sa-core-2026-005
- Bulletin de sécurité Drupal SA-CORE-2026-006 du 17 juin 2026 https://drupal.org/sa-core-2026-006
- Bulletin de sécurité Drupal SA-CORE-2026-007 du 17 juin 2026 https://drupal.org/sa-core-2026-007
- Bulletin de sécurité Drupal SA-CORE-2026-008 du 17 juin 2026 https://drupal.org/sa-core-2026-008
- Bulletin de sécurité Drupal SA-CORE-2026-009 du 17 juin 2026 https://drupal.org/sa-core-2026-009
- Référence CVE CVE-2026-55803 https://www.cve.org/CVERecord?id=CVE-2026-55803
- Référence CVE CVE-2026-55804 https://www.cve.org/CVERecord?id=CVE-2026-55804
- Référence CVE CVE-2026-55806 https://www.cve.org/CVERecord?id=CVE-2026-55806
- Référence CVE CVE-2026-55807 https://www.cve.org/CVERecord?id=CVE-2026-55807
- Référence CVE CVE-2026-55808 https://www.cve.org/CVERecord?id=CVE-2026-55808
