Vulnérabilité dans le système de gestion Drupal
Date de publication :
CVE-2021-32610[Score CVSS v3 : 7.1]
Le projet Drupal utilise la bibliothèque Archive_Tar de Pear, qui a récemment publié une mise à jour de sécurité impactant Drupal. Une exploitation est possible si du code contributif ou personnalisé utilise la bibliothèque pour extraire des archives tar (par exemple .tar, .tar.gz, .bz2, ou .tlz) provenant d'une source potentiellement non fiable. Un attaquant peut potentiellement créer une archive malveillante afin d’exécuter du code arbitraire sur une infrastructure Drupal vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Drupal versions antérieures à 9.2.2 ;
- Drupal versions antérieures à 9.1.11 ;
- Drupal versions antérieures à 8.9.17 ;
- Drupal versions antérieures à 7.82.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Drupal conformément aux instructions de l’éditeur.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.