Vulnérabilité dans la librairie Archive_Tar de Drupal

CVE-2020-36193 [Score CVSS v3 : 7.5] : Une vulnérabilité au sein du fichier Tar.php dans Archive_Tar a été corrigée. Cette faille est due à une vérification insuffisante des liens symboliques passés dans les fichiers en argument d’entrée. Son exploitation peut permettre à un attaquant distant et authentifié d’effectuer des opérations d'écriture non spécifiées via une attaque de type traversement de répertoires.

Informations
+

Risques

  • Injection de code arbitraire

  • Atteinte à l’intégrité des données

  • Violation des politiques de sécurité

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible à l’heure actuelle.

Composants vulnérables

Les applications suivantes utilisent une version vulnérable de Archive_Tar (<=v1.4.11), cette liste n’est pas exhaustive.

  • Drupal 9.1

  • Drupal 9.0

  • Drupal 8.9

  • Drupal 7

CVE


Recommandations
+

Mise en place de correctifs de sécurité

Mettre à jour Drupal vers une des versions suivantes :

Solution de contournement

  • Aucune solution de contournement n’est disponible à l’heure actuelle.