Retour au blog
PHPDrupalCVE

PHP et Drupalgeddon2 : pourquoi CVE-2018-7600 reste un repere

Publié le 2026-04-116 min de lectureCleanIssue

> En bref : CVE-2018-7600 a marque durablement l ecosysteme PHP via Drupal. Voici pourquoi Drupalgeddon2 reste un repere quand on parle de failles critiques...

Une faille qui a depasse le cercle Drupal

L advisory officiel SA-CORE-2018-002 de Drupal classait CVE-2018-7600 comme une faille hautement critique permettant une execution de code a distance. Quelques jours plus tard, Drupal publiait aussi une annonce de service public expliquant que les sites non patches devaient etre consideres comme potentiellement cibles, voire compromis.

Cette reactivite officielle suffit a comprendre la gravite du sujet.

Pourquoi ce CVE reste marquant

Drupalgeddon2 est devenu une reference parce qu il a touche un CMS robuste, mature, utilise dans des environnements exigeants, et qu il a mis en lumiere le risque des mises a jour tardives sur des plateformes admin lourdes.

Le sujet n etait pas seulement technique. C etait aussi un sujet d exploitation : combien de sites peuvent etre patches vite, combien restent en attente, combien sont oublies.

Ce que cela dit du risque PHP

Quand on critique PHP, on parle souvent du langage. En pratique, beaucoup de gros incidents viennent plutot des CMS, plugins, modules et cycles de maintenance autour du langage. Drupalgeddon2 entre exactement dans cette categorie.

Un CMS PHP puissant devient tres sensible quand il concentre contenus, workflows, comptes privilegies et extensions dans une meme surface web.

La lecon utile en 2026

Pour les equipes qui exploitent encore des CMS riches, la question n est pas seulement est-ce que le core est bien concu. Il faut aussi se demander :

  • sommes-nous capables de patcher en urgence ;
  • avons-nous une vue claire des modules ;
  • savons-nous detecter un compromis apres une faille critique ;
  • nos environnements oubliés sont-ils encore exposes.
  • Notre lecture

    Drupalgeddon2 reste un repere car il resume un risque tres concret : lorsqu une faille critique touche un CMS central au metier, la fenetre entre divulgation et exploitation devient tres courte.

    Dans l ecosysteme PHP, ce n est donc pas le langage qu il faut juger en premier. Ce sont les surfaces d administration, les modules actifs, et la discipline de patch des plateformes exposees.

    À retenir

  • Les CV parsés contiennent des données personnelles sensibles — appliquez une rétention limitée et un accès restreint.
  • Vérifiez que le service de parsing IA ne stocke pas les documents en clair sur ses serveurs.
  • Anonymisez les données candidats dès la fin du processus de recrutement pour limiter l'exposition.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit