Modules Drupal : faille critique permettant l'exécution de code (CVE-2026-9726) et une fuite d'informations (CVE-2026-10768)
Ce texte a été généré par l'intelligence artificielle (IA).Fin mai et début juin 2026, l'équipe de sécurité de Drupal a publié deux avis de sécurité concernant des modules contribués très répandus. Les vulnérabilités concernent les modules AlternativeCommerce (Panier) et Workflows LocalGov. L'une de ces vulnérabilités, CVE-2026-9726, est classée comme « très critique » et permet l'exécution de code arbitraire. Des mises à jour de sécurité sont disponibles pour ces deux vulnérabilités ; leur installation est une priorité absolue pour les administrateurs d'instances Drupal.
Vulnérabilité extrêmement critique : CVE-2026-9726 dans drupal/panier (AlternativeCommerce)
Risque : Exécution de code PHP arbitraire (score de risque Drupal : 22/25)
Versions concernées : Tous les 2.1.17
Corrigé dans : Version 2.1.17
Vulnérabilité modérée : CVE-2026-10768 dans drupal/localgov_workflows
Risque : Divulgation d'informations (score de risque Drupal : 14/25)
Versions concernées : Tous les 1.6.0
Corrigé dans : Version 1.6.0
Constat technique : de l'exécution de code à la fuite de données
Ces deux vulnérabilités diffèrent considérablement tant par leur nature technique que par l'ampleur des dommages qu'elles sont susceptibles de causer.
CVE-2026-9726 : injection d'objet PHP dans le module « Basket »
La vulnérabilité classée comme « très critique » dans le module AlternativeCommerce (Panier) est due à une validation insuffisante des données sérialisées fournies par les utilisateurs. Avant que ces données ne soient transmises à la fonction PHP unserialize() sont transmises, le filtrage n'est pas suffisant. Cela permet une attaque par injection d'objet PHP. Un attaquant peut envoyer des données spécialement préparées au système afin d'exécuter n'importe quel code PHP sur le serveur, à condition qu'une chaîne de gadgets appropriée soit présente dans le code. Cela peut entraîner la compromission totale du système. L'avis de sécurité SA-CONTRIB-2026-038 a été publiée le 27 mai 2026 et corrigée par Drew Webber (mcdruid) et Helena Zajika ; cette vulnérabilité a également été signalée par Drew Webber (mcdruid).
L'équipe de sécurité de Drupal évalue ce risque comme suit : 22 points sur 25. Le vecteur de pondération (AC : Aucun / A : Aucun / CI : Tous / II : Tous / E : Théorique / TD : Tous) illustre bien le danger : cette attaque ne nécessite aucune préparation particulière ni aucune authentification et peut compromettre la confidentialité et l'intégrité de l'ensemble de l'application.
CVE-2026-10768 : fuite d'informations dans les workflows LocalGov
La deuxième vulnérabilité du module Workflows LocalGov est remplacé par 14 points sur 25 considérée comme modérément critique. Il s'agit d'un contrôle d'accès insuffisant à une vue affichant les coordonnées des services. Des personnes non autorisées peuvent ainsi consulter les noms des contacts et les contenus qui leur sont associés. Bien que cette vulnérabilité ne permette pas l'exécution directe de code, les informations divulguées peuvent être utilisées à des fins d'attaques par ingénierie sociale ou pour préparer des attaques plus complexes. L'avis de sécurité SA-CONTRIB-2026-039 a été publiée le 3 juin 2026 ; signalée par Maria Young (maria.y), corrigée par Finn Lewis et Rupert Jabelman, sous la coordination de Greg Knaddison (greggles) de l'équipe de sécurité Drupal.
Mesures à prendre : application des correctifs et vérification
Pour ces deux vulnérabilités, la mesure recommandée consiste à installer sans délai les mises à jour de sécurité mises à disposition. Les deux avis indiquent le paramètre d'exploitabilité E : Théorique — Aucune exploitation active n'a été signalée à ce jour, mais la divulgation publique des détails techniques augmente le risque théorique d'attaque.
AlternativeCommerce (panier) : Les opérateurs doivent passer à la version 2.1.17 ou vers une version plus récente. Si une mise à jour immédiate n'est pas possible, il convient de désactiver temporairement le module afin de minimiser le risque d'attaque.
Workflows LocalGov : Une mise à jour vers la version 1.6.0 ou une version plus récente permet de colmater la fuite d'informations.
Les entreprises devraient profiter de cet incident pour dresser un inventaire complet de tous les modules Drupal utilisés et revoir leur processus de gestion des correctifs.
Contexte DACH et européen
Pour les opérateurs en Allemagne, en Autriche et en Suisse, deux aspects réglementaires revêtent une importance particulière. Premièrement, la divulgation des noms et des contenus associés rendue possible par la faille CVE-2026-10768 peut concerner des données à caractère personnel. Dans ce cas, l'obligation de déclaration prévue par Art. 33 du RGPD: Les responsables doivent signaler toute violation de la protection des données à l'autorité de contrôle compétente dans un délai de 72 heures. Deuxièmement, les opérateurs d'infrastructures critiques ainsi que les organismes publics relevant de la Directive NIS 2 sont tenues de démontrer qu'elles mettent en œuvre une gestion active des correctifs pour les composants logiciels utilisés — la correction rapide des vulnérabilités CVE-2026-9726 et CVE-2026-10768 s'impose donc non seulement d'un point de vue technique, mais aussi au regard de la conformité réglementaire. Le BSI recommande de manière générale d’installer sans délai les mises à jour de sécurité disponibles pour les applications web exposées.
Visibilité et contrôle grâce à l'EASM et au C-SRM
La gestion de systèmes tels que Drupal met en évidence deux défis majeurs de la sécurité informatique moderne : le contrôle de sa propre infrastructure accessible depuis l'extérieur et la gestion des risques liés à la chaîne d'approvisionnement.
Comprendre les vecteurs d'attaque externes (EASM) : Les instances Drupal, en particulier celles qui comportent un grand nombre de modules Contrib, peuvent rapidement devenir une partie confuse de la surface d'attaque externe. Le « shadow IT », les sous-domaines oubliés ou les ressources cloud non répertoriées — comme les environnements de test restés accessibles au public — échappent souvent à la gestion centralisée des correctifs. Une plateforme de gestion de la surface d’attaque externe (EASM) telle que LocateRisk identifie en continu tous les systèmes d’une entreprise accessibles au public, y compris les applications web. Il est ainsi possible de déterminer où Drupal est utilisé et si des composants potentiellement vulnérables sont exposés. Cela apporte la transparence nécessaire pour déployer les correctifs de manière ciblée et exhaustive.
Gérer les risques liés à la chaîne d'approvisionnement (C-SRM) : Souvent, les sites web sont gérés par des prestataires externes, tels que des agences de marketing ou des agences web. Si leur instance Drupal est affectée par la vulnérabilité CVE-2026-9726, cela représente un risque direct pour votre entreprise. La gestion continue des risques liés à la chaîne d'approvisionnement (C-SRM) évalue automatiquement et en continu la sécurité de vos fournisseurs. Si la note de sécurité d'un partenaire baisse en raison d'une vulnérabilité critique non corrigée, vous recevez une alerte et pouvez exiger des mesures proactives. Cela facilite le respect des exigences de conformité telles que la directive NIS-2 ou la norme ISO 27001, qui imposent une gestion active des risques liés à la chaîne d’approvisionnement.
La solution de LocateRisk propose une plateforme „ Made in Germany “ hébergée dans des centres de données allemands certifiés, qui facilite la mise en conformité avec les exigences du RGPD et réduit considérablement le risque d'exposition au Cloud Act américain.
Sources et informations complémentaires
Avis de sécurité Drupal (LocalGov Workflows, CVE-2026-10768) :SA-CONTRIB-2026-039
Avis de sécurité Drupal (AlternativeCommerce Basket, CVE-2026-9726) :SA-CONTRIB-2026-038
Base de données des avis de sécurité de GitHub (CVE-2026-10768) :GHSA-m5cq-wg24-c9f2
Base de données des avis de sécurité de GitHub (CVE-2026-9726) :GHSA-ggc6-38jq-q957
L'injection d'objet PHP se produit lorsqu'une application transmet à la fonction PHP des données fournies par l'utilisateur sans les avoir suffisamment validées unserialize() transmet. Un attaquant peut ainsi introduire des objets spécialement préparés. Si une chaîne de gadgets appropriée existe dans le code de l'application, cela peut conduire à l'exécution de n'importe quel code PHP sur le serveur — dans le pire des cas, à la compromission totale de l'instance Drupal (Drupal Risk Score 22/25, AC : Aucun/A : Aucun).
La vulnérabilité CVE-2026-9726 concerne toutes les versions du module drupal/panier (AlternativeCommerce) avant 2.1.17; la version corrigée est 2.1.17. La vulnérabilité CVE-2026-10768 concerne toutes les versions de drupal/localgov_workflows avant 1.6.0; la version corrigée est 1.6.0. Ces deux mises à jour de sécurité sont disponibles au téléchargement sur drupal.org.
Pour le module Basket, une mise à jour immédiate vers la version 2.1.17 ou plus récente est requise. Si une mise à jour n'est pas possible dans l'immédiat, l'équipe de sécurité de Drupal recommande de désactiver temporairement le module afin de minimiser le risque d'attaque. Pour LocalGov Workflows, une mise à niveau vers la version 1.6.0 ou une version plus récente. De plus, les opérateurs devraient dresser l'inventaire de tous les modules Contrib installés et vérifier que leur processus de gestion des correctifs est à jour.
Vérification rapide CVE
Vérifiez en quelques minutes si votre surface d'attaque visible depuis l'extérieur présente des indices liés à une vulnérabilité CVE actuelle.
Une estimation approximative en quelques minutes par e-mail.
Pour en savoir plus, contactez gratuitement un consultant LocateRisk.
Vous recevrez cela par e-mail
EntreprisesVotre société GmbH
CVE vérifiésCVE-2024-3094
Évaluation passive
Remarques concernant le CVEIndications trouvées
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.