Vulnérabilités dans Drupal
Date de publication :
De multiples vulnérabilités ont été découvertes dans Drupal, système de gestion de contenu libre. Un attaquant distant peut faire exécuter des requêtes arbitraires à un utilisateur, ainsi qu’exécuter du code PHP arbitraire.
CVE-2020-13663 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité de type CSRF a été découverte dans Drupal. Un attaquant distant exploitant cette vulnérabilité peut faire exécuter des requêtes arbitraires au navigateur d’un utilisateur visitant la page vulnérable, via l’envoi d’entrées de formulaires spécialement conçues.
CVE-2020-13664 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans Drupal. Un attaquant distant exploitant cette vulnérabilité peut exécuter du code PHP arbitraire. L’attaque requiert qu’un administrateur visite un site contrôlé par l’attaquant, afin de provoquer l’apparition d’un dossier au nom spécialement conçu dans l’arborescence du site vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de requêtes arbitraires par les utilisateurs
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : en cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Drupal 7 avant la version 7.72 (CVE-2020-13663)
- Drupal 8.8 avant la version 8.8.8 (CVE-2020-13663 et CVE-2020-13664)
- Drupal 8.9 avant la version 8.9.1 (CVE-2020-13663 et CVE-2020-13664)
- Drupal 9.0 avant la version 9.0.1 (CVE-2020-13663 et CVE-2020-13664)
CVE
- CVE-2020-13663
- CVE-2020-13664
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Drupal vers une version non-vulnérable (voir la section “Composants vulnérables”)
Solution de contournement
Aucune solution de contournement n’est disponible