https://cyberveille.ch/tags/jsonapi/ Recent content in JSON:API on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 25 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-25-cve-2026-9082-injection-sql-dans-drupal-json-api-ajoutee-au-catalogue-kev-de-la-cisa/ Mon, 25 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-25-cve-2026-9082-injection-sql-dans-drupal-json-api-ajoutee-au-catalogue-kev-de-la-cisa/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Source : CrowdSec VulnTracking, publié le 25 mai 2026. CrowdSec suit activement les tentatives d&rsquo;exploitation de <strong>CVE-2026-9082</strong>, une vulnérabilité de type <strong>SQL injection</strong> affectant le cœur de <strong>Drupal</strong> via les paramètres de filtre de l&rsquo;API <strong>JSON:API</strong> sur les endpoints <code>/jsonapi/</code>.</p> <h2 id="-chronologie-des-événements">📅 Chronologie des événements</h2> <ul> <li><strong>20 mai 2026</strong> : Drupal publie l&rsquo;advisory de sécurité SA-CORE-2026-004</li> <li><strong>21 mai 2026</strong> : CrowdSec observe les premières tentatives de sondage (probing)</li> <li><strong>22 mai 2026</strong> : CrowdSec publie une règle de détection ; CISA ajoute CVE-2026-9082 au catalogue <strong>KEV</strong> (Known Exploited Vulnerabilities)</li> <li><strong>23 mai 2026</strong> : Première exploitation confirmée sur le réseau CrowdSec</li> <li><strong>25 mai 2026</strong> : <strong>68 IPs attaquantes distinctes</strong> observées</li> </ul> <h2 id="-détails-techniques">🔍 Détails techniques</h2> <p><strong>CVE-2026-9082</strong> est causée par une neutralisation incorrecte d&rsquo;entrées contrôlées par l&rsquo;attaquant dans les <strong>clés de paramètres de filtre JSON:API</strong>. Des métacaractères SQL peuvent être injectés directement dans la clé du filtre (et non uniquement dans la valeur), via des requêtes HTTP vers des endpoints <code>/jsonapi/</code> exposés publiquement.</p>