Objet: Multiples vulnérabilités dans Drupal

Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 18 juin 2026 N° CERTFR-2026-AVI-0771 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Drupal Gestion du document Référence CERTFR-2026-AVI-0771 Titre Multiples vulnérabilités dans Drupal Date de la première version18 juin 2026 Date de la dernière version18 juin 2026 Source(s) Bulletin de sécurité Drupal SA-CORE-2019-003 du 17 juin 2026Bulletin de sécurité Drupal SA-CORE-2026-006 du 17 juin 2026Bulletin de sécurité Drupal SA-CORE-2026-007 du 17 juin 2026Bulletin de sécurité Drupal SA-CORE-2026-008 du 17 juin 2026Bulletin de sécurité Drupal SA-CORE-2026-009 du 17 juin 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Contournement de la politique de sécurité Exécution de code arbitraire à distance Falsification de requêtes côté serveur (SSRF) Injection de code indirecte à distance (XSS) Injection SQL (SQLi) Systèmes affectés Drupal versions 10.6.x antérieures à 10.6.11 Drupal versions 11.2.x antérieures à 11.2.14 Drupal versions 11.3.x antérieures à 11.3.12 Drupal versions antérieures à 10.5.12 Résumé De multiples vulnérabilités ont été découvertes dans Drupal. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une injection SQL (SQLi) et une falsification de requêtes côté serveur (SSRF).

Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Drupal SA-CORE-2019-003 du 17 juin 2026 https://drupal.org/sa-core-2026-005 Bulletin de sécurité Drupal SA-CORE-2026-006 du 17 juin 2026 https://drupal.org/sa-core-2026-006 Bulletin de sécurité Drupal SA-CORE-2026-007 du 17 juin 2026 https://drupal.org/sa-core-2026-007 Bulletin de sécurité Drupal SA-CORE-2026-008 du 17 juin 2026 https://drupal.org/sa-core-2026-008 Bulletin de sécurité Drupal SA-CORE-2026-009 du 17 juin 2026 https://drupal.org/sa-core-2026-009 Référence CVE CVE-2026-55803 https://www.cve.org/CVERecord?id=CVE-2026-55803 Référence CVE CVE-2026-55804 https://www.cve.org/CVERecord?id=CVE-2026-55804 Référence CVE CVE-2026-55806 https://www.cve.org/CVERecord?id=CVE-2026-55806 Référence CVE CVE-2026-55807 https://www.cve.org/CVERecord?id=CVE-2026-55807 Référence CVE CVE-2026-55808 https://www.cve.org/CVERecord?id=CVE-2026-55808 Gestion détaillée du document le 18 juin 2026 Version initiale