Retour au blog
PHPDrupalCVE

PHP et Drupalgeddon2 : pourquoi CVE-2018-7600 reste un repere

Publié le 2026-04-116 min de lectureFlorian

Une faille qui a depasse le cercle Drupal

L advisory officiel SA-CORE-2018-002 de Drupal classait CVE-2018-7600 comme une faille hautement critique permettant une execution de code a distance. Quelques jours plus tard, Drupal publiait aussi une annonce de service public expliquant que les sites non patches devaient etre consideres comme potentiellement cibles, voire compromis.

Cette reactivite officielle suffit a comprendre la gravite du sujet.

Pourquoi ce CVE reste marquant

Drupalgeddon2 est devenu une reference parce qu il a touche un CMS robuste, mature, utilise dans des environnements exigeants, et qu il a mis en lumiere le risque des mises a jour tardives sur des plateformes admin lourdes.

Le sujet n etait pas seulement technique. C etait aussi un sujet d exploitation : combien de sites peuvent etre patches vite, combien restent en attente, combien sont oublies.

Ce que cela dit du risque PHP

Quand on critique PHP, on parle souvent du langage. En pratique, beaucoup de gros incidents viennent plutot des CMS, plugins, modules et cycles de maintenance autour du langage. Drupalgeddon2 entre exactement dans cette categorie.

Un CMS PHP puissant devient tres sensible quand il concentre contenus, workflows, comptes privilegies et extensions dans une meme surface web.

La lecon utile en 2026

Pour les equipes qui exploitent encore des CMS riches, la question n est pas seulement est-ce que le core est bien concu. Il faut aussi se demander :

  • sommes-nous capables de patcher en urgence ;
  • avons-nous une vue claire des modules ;
  • savons-nous detecter un compromis apres une faille critique ;
  • nos environnements oubliés sont-ils encore exposes.

    • Notre lecture

    Drupalgeddon2 reste un repere car il resume un risque tres concret : lorsqu une faille critique touche un CMS central au metier, la fenetre entre divulgation et exploitation devient tres courte.

    Dans l ecosysteme PHP, ce n est donc pas le langage qu il faut juger en premier. Ce sont les surfaces d administration, les modules actifs, et la discipline de patch des plateformes exposees.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    PHPLaravel

    PHP et Laravel Ignition : pourquoi CVE-2021-3129 a tant marque l ecosysteme

    CVE-2021-3129 a montre qu un composant de debug Laravel mal expose pouvait ouvrir a une execution de code a distance. Voici pourquoi cette faille reste marquante pour l ecosysteme PHP.

    2026-04-11 · 6 min de lecture
    PHPRoundcube

    PHP et Roundcube : pourquoi les correctifs 2025-2026 meritent votre attention

    Roundcube a encore publie plusieurs mises a jour de securite en 2025 et 2026. Voici pourquoi cet ecosysteme PHP reste sensible et ce que les equipes doivent verifier.

    2026-04-11 · 6 min de lecture
    GoKubernetes

    Go et Kubernetes : pourquoi CVE-2018-1002105 reste une reference

    CVE-2018-1002105 a touche le kube-apiserver et reste l un des CVE les plus marquants de l ecosysteme Kubernetes. Voici pourquoi cette faille reste une reference.

    2026-04-11 · 7 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-11

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Suivi Récurrent

    Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit