Drupal corrige la vulnérabilité de contournement d’accès critique

Le défaut peut conduire à un compromis complet de la confidentialité des données et de l’intégrité du site.

Le projet Drupal a publié un correctif pour réparer une vulnérabilité de dérivation d’accès critique qui pourrait mettre les sites à risque de piratage.

La vulnérabilité n’a pas le niveau de gravité le plus élevé basé sur le système de notation de Drupal, mais il est suffisamment grave pour que les développeurs de la plateforme décident de publier également un patch pour une version du système de gestion de contenu qui n’est plus officiellement supporté.

L’exploitation réussie de la vulnérabilité peut conduire à un compromis complet de la confidentialité des données et de l’intégrité du site Web, mais seules les sites Web basés sur Drupal avec certaines configurations sont affectés.

Pour être vulnérable, un site Web doit avoir les services Web RESTful activés et permettre les demandes PATCH. En outre, l’attaquant doit être en mesure d’enregistrer un nouveau compte sur le site ou d’accéder à un système existant, indépendamment de ses privilèges.

La branche Drupal 7.x n’est pas affectée, mais les utilisateurs de Drupal 8 doivent être mis à niveau vers les versions 8.3.1 ou 8.2.8 nouvellement publiées.

« Bien que nous ne fournissions normalement pas de sécurité pour les versions mineures non prises en charge, étant donné la gravité potentielle de ce problème, nous avons également fourni une version 8.2.x pour nous assurer que les sites qui n’ont pas eu de chance de mettre à jour vers 8.3.0 peuvent mettre à jour En toute sécurité « , ont déclaré les développeurs Drupal dans un avis.

Drupal est le troisième système de gestion de contenu le plus populaire après WordPress et Joomla. Il gère les sites Web de nombreuses entreprises, agences gouvernementales, universités, agences de presse et autres organisations. Ses utilisateurs de haut niveau incluent la Maison Blanche, le gouvernement français, le maire de Londres, la BBC et l’Université d’Oxford.

Photo : © Drupal