🗓️ Contexte

Source : CrowdSec VulnTracking, publié le 25 mai 2026. CrowdSec suit activement les tentatives d’exploitation de CVE-2026-9082, une vulnérabilité de type SQL injection affectant le cœur de Drupal via les paramètres de filtre de l’API JSON:API sur les endpoints /jsonapi/.

📅 Chronologie des événements

  • 20 mai 2026 : Drupal publie l’advisory de sécurité SA-CORE-2026-004
  • 21 mai 2026 : CrowdSec observe les premières tentatives de sondage (probing)
  • 22 mai 2026 : CrowdSec publie une règle de détection ; CISA ajoute CVE-2026-9082 au catalogue KEV (Known Exploited Vulnerabilities)
  • 23 mai 2026 : Première exploitation confirmée sur le réseau CrowdSec
  • 25 mai 2026 : 68 IPs attaquantes distinctes observées

🔍 Détails techniques

CVE-2026-9082 est causée par une neutralisation incorrecte d’entrées contrôlées par l’attaquant dans les clés de paramètres de filtre JSON:API. Des métacaractères SQL peuvent être injectés directement dans la clé du filtre (et non uniquement dans la valeur), via des requêtes HTTP vers des endpoints /jsonapi/ exposés publiquement.

Exemples de payloads observés :

  • Opérateurs ||
  • Backticks
  • Expressions de time-delay

L’impact potentiel inclut : accès non autorisé aux données, manipulation de la base de données, et compromission ultérieure de l’environnement.

🎯 Surface d’attaque

Drupal est utilisé par des sites du secteur public, des plateformes marketing d’entreprise, des universités et des portails de contenu. Le JSON:API est souvent exposé pour des intégrations headless, mobiles ou partenaires.

🛡️ Versions corrigées

  • 10.4.10 ou supérieur
  • 10.5.10 ou supérieur
  • 10.6.9 ou supérieur
  • 11.1.10 ou supérieur
  • 11.2.12 ou supérieur
  • 11.3.10 ou supérieur

📌 Type d’article

Il s’agit d’une alerte de sécurité combinant analyse de menace et rapport de vulnérabilité, publiée par CrowdSec pour informer les défenseurs de l’urgence opérationnelle liée à cette CVE en phase d’exploitation précoce.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1005 — Data from Local System (Collection)

IOC

  • CVEs : CVE-2026-9082NVD · CIRCL
  • Chemins : /jsonapi/

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ crowdsec.net — source non référencée (0pts)
  • ✅ 6183 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2026-9082-drupal-jsonapi-sql-injection?