Les vulnérabilités critiques dans les CMS publics continuent d’offrir un terrain favorable aux attaques opportunistes. Une nouvelle campagne visant Drupal montre à quel point les délais de correction deviennent difficiles à tenir pour de nombreuses organisations, notamment dans le secteur public où les plateformes web reposent souvent sur des architectures anciennes ou fortement personnalisées.
Une vulnérabilité critique affectant Drupal est actuellement exploitée activement par des attaquants, selon plusieurs alertes relayées ces derniers jours par la CISA, Imperva et différents médias spécialisés. La faille, identifiée sous le numéro CVE-2026-9082, permettrait une injection SQL sans authentification sur certains environnements vulnérables.
Imperva indique avoir observé plus de 15 000 tentatives d’exploitation visant environ 6 000 sites répartis dans 65 pays. Plusieurs plateformes publiques figureraient parmi les cibles potentielles. La CISA américaine a intégré la vulnérabilité à son catalogue KEV (« Known Exploited Vulnerabilities ») et demande aux agences fédérales de corriger leurs systèmes avant le 27 mai.
Une faille particulièrement sensible pour les sites institutionnels
Drupal reste très utilisé par les collectivités, les administrations, les établissements publics et de nombreuses grandes organisations. Ce type de CMS est souvent choisi pour gérer des portails institutionnels complexes, avec de multiples utilisateurs, modules et intégrations. Beaucoup de sites publics reposent encore sur des versions anciennes ou fortement personnalisées du CMS, ce qui complique parfois l’application rapide des correctifs.
Les campagnes d’exploitation observées montrent que les attaquants surveillent de très près les annonces de sécurité liées aux outils web les plus répandus. Une faille exploitable sans authentification sur un CMS largement déployé devient rapidement une cible prioritaire.
Des délais de correction difficiles à tenir
La CISA impose désormais des calendriers très courts pour les vulnérabilités jugées activement exploitées. Dans le cas présent, les agences fédérales américaines disposent de quelques jours seulement pour appliquer les correctifs.
Sur le terrain, cette rapidité reste difficile à atteindre pour beaucoup d’organisations. Les mises à jour doivent parfois passer par plusieurs étapes de validation technique ou métier afin d’éviter des régressions et des interruptions de service.
Cette réalité crée un décalage persistant entre les exigences des autorités de cybersécurité et les capacités opérationnelles réelles de nombreuses structures, notamment dans le secteur public ou parapublic.
Une pression croissante sur les CMS exposés en ligne
Les chercheurs soulignent d’autre part que l’exploitation de ce type de vulnérabilité ne sert pas uniquement à compromettre un site vitrine. Une intrusion peut permettre d’installer des web shells, de voler des données, de rebondir vers d’autres systèmes internes ou d’utiliser l’infrastructure compromise dans des campagnes plus larges.
