Vulnérabilité dans le système de gestion Drupal

Date de publication :

Une vulnérabilité critique a été découverte dans le système de gestion Drupal.

CVE-2020-13671 [Score CVSS v3 : 8.8] : Cette vulnérabilité permet à un attaquant distant et authentifié d’exécuter du code arbitraire. Cette faille est due à une trop faible vérification des noms de fichiers insérés par un utilisateur à Drupal, le fichier peut alors être incorrectement interprété.Un  attaquant peut alors télécharger sur Drupal un fichier malveillant dans le but d’injecter de code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.8

Existence d’un code d’exploitation

  • Il n'existe pas de code d'exploitation connu publiquement à ce jour

Composants vulnérables

  • Drupal v9.0
  • Drupal v8.9
  • Drupal v8.8
  • Drupal v7

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mise à jour vers :

  • Drupal v9.0.8

  • Drupal v8.9.9

  • Drupal v8.8.11

  • Drupal v7.74

Solution de contournement

  • Aucune solution de contournement n’a été proposée à ce jour

Néanmoins, il est nécessaire que l’administrateur en charge de Drupal effectue une vérification des fichiers mis en ligne par les utilisateurs, notamment aux extensions dans les noms de fichier tels que nomdefichier.php.txt ou nomdefichier.js.png.

Les extensions pouvant être considérées comme potentiellement malveillantes sont les suivantes (liste non-exhaustive):

  • phar

  • php

  • pl

  • py

  • cgi

  • asp

  • js

  • html

  • htm

  • phtml

Liens