Drupal corrige plusieurs vulnerabilités
Date de publication :
Drupal vient de publier une mise à jour corrigeant 3 vulnérabilités de risque moyen et élevé.
Drupal est un système de gestion de contenu (CMS) libre et open-source distribué sous la licence publique générale GNU, et écrit en PHP. C’est d’ailleurs dans ce langage que l’exploitation de la vulnérabilité est réalisée. Sur Drupal, le contenu est en effet stocké dans un grand nombre de bases de données hiérarchisées permettant de réécrire facilement le contenu que l’on souhaite modifier.
Détails techniques :
- CVE-2019-10909 [CVSS V3 6.1] : Cross-site scripting
Cette vulnérabilité permet à un attaquant de réaliser une attaque de type XSS (Cross-Site Scripting).
La vulnérabilité est due à un mauvais assainissement des données fournies par l'utilisateur dans le thème de formulaire du moteur de template PHP. Un attaquant distant peut tromper une victime en la faisant suivre un lien spécialement conçu et exécuter du code HTML et du code script arbitraires dans le navigateur de l'utilisateur.
L'exploitation réussie de cette vulnérabilité peut permettre à un attaquant distant de voler des informations potentiellement sensibles, de modifier l'apparence de la page Web d'effectuer des attaques de phishing.
- CVE-2019-10910 [CVSS V3 7.3] : Injection de code
La vulnérabilité révélée permet à un attaquant distant de compromettre un système vulnérable.
La vulnérabilité est due à un assainissement insuffisant des données fournies par les utilisateurs. Un attaquant distant peut envoyer une requête HTTP spécialement conçue pour le système vulnérable et exécuter du code PHP arbitraire.
L'exploitation réussie de cette vulnérabilité peut permettre à un attaquant distant de compromettre l'application affectée.
- CVE-2019-10911 [CVSS V3 5.3] : Mauvaise gestion de l'authentification
La vulnérabilité révélée permet à un attaquant distant de contourner le processus d'authentification.
La vulnérabilité est due à la façon dont l'application gère les valeurs des cookies HTTP, notamment la valeur de durée d'expiration de la session et la gestion du nom d'utilisateur. Un attaquant distant peut modifier la valeur du cookie remember-me et s'authentifier en tant qu'un autre utilisateur.
Cette attaque n'est possible que si la fonctionnalité remember-me est activée et que les deux utilisateurs partagent un hash de mot de passe ou que les hash de mot de passe (par exemple, UserInterface::getPassword()) sont nuls pour tous les utilisateurs (ce qui est valable si les mots de passe sont vérifiés par un système externe, par exemple, un SSO).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire.
Criticité
- Score CVSS : 7.1
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
- Drupal 8.6.14 ;
- Drupal 8.6.13 ;
- Drupal 8.5.14.
CVE
- CVE-2019-10909
- CVE-2019-10910
- CVE-2019-10911
Solutions ou recommandations
Mise en place de correctif de sécurité
- Des correctifs ont été publiés par Drupal et sont disponibles au téléchargement.
Solution de contournement
- Aucune solution de contournement n'est disponible.