Alerte de sécurité critique : Mise à jour imminente de Drupal

L’équipe de sécurité de Drupal a annoncé la publication d’une mise à jour de sécurité majeure prévue pour le 20 mai 2026, entre 17h et 21h UTC. En raison du risque élevé d’exploitation rapide des vulnérabilités après divulgation, les administrateurs sont vivement incités à préparer leurs environnements sans attendre.

Points clés :

• Portée : Les branches supportées 11.3.x, 11.2.x, 10.6.x et 10.5.x sont concernées.
• Gravité : Bien que la nature exacte de la faille soit tenue secrète, la mise à disposition de correctifs exceptionnels pour des versions obsolètes (EOL) indique une sévérité critique.
• Versions obsolètes : Drupal 7 n’est pas concerné. Pour les versions 8 et 9 (EOL), des correctifs “au mieux” seront fournis, sans garantie de stabilité, et ne protègent pas contre les vulnérabilités antérieures déjà identifiées.

Vulnérabilités :

• Identifiants CVE non encore communiqués (sous embargo jusqu’à la publication).

Recommandations :

1. Préparation immédiate : Mettre à jour les sites vers les dernières versions mineures supportées (ex: 11.1.9 ou 10.4.9) avant le 20 mai pour faciliter l’application du correctif de sécurité.
2. Action rapide : Réserver une plage horaire durant la fenêtre de publication pour évaluer l’impact et appliquer le correctif dès sa disponibilité.
3. Migration nécessaire : Pour les sites en version 8 ou 9, une mise à niveau vers une branche majeure supportée (10.6 ou supérieure) est indispensable, les correctifs temporaires étant insuffisants face aux vulnérabilités connues non résolues.

Source