Plusieurs vulnérabilités de criticité moyenne à élevée ont été corrigées sur Drupal 7 et 8

Plusieurs vulnérabilités de criticité moyenne à élevée ont été identifiées sur les versions 7.x et 8.4.x de Drupal. Un attaquant pourrait exploiter certaines de ces vulnérabilités pour accéder à des informations sensibles.

Drupal a publié un avis pour corriger les vulnérabilités listées ci-dessous :

  • Une vulnérabilité dont l'exploitation permet d'accéder à du contenu restreint au moyen du formulaire de réponse aux commentaires sur Drupal 8. Cette vulnérabilité permettrait à des utilisateurs de consulter du contenu et commentaires auxquels ils n'ont pas accès et également d’ajouter des commentaires à ce contenu ;
  • Une vulnérabilité de cross-site scripting sur Drupal 7 et 8 due à une mauvaise gestion des balises HTML au niveau de la fonction JavaScript Drupal.checkPlain() ;
  • Une vulnérabilité de contournement d'accès sur Drupal 7 due à une vérification incorrecte des droits d’accès ;
  • Une vulnérabilité de cross-site scripting présente dans les fonctions de création de requêtes Ajax sur des domaines non approuvés ;
  • Une vulnérabilité de contournement d’accès due à une mauvaise gestion des restrictions d’accès aux sites multilingues ;
  • Un contournement d’accès au niveau du module Settings Tray de Drupal 8 qui permettrait aux utilisateurs de mettre à jour certaines données sans autorisation ;
  • Une vulnérabilité dont l'exploitation permet d'injecter des liens externes au niveau du bloc de changement de langue. Cette vulnérabilité pourrait permettre à un attaquant de rediriger les utilisateurs vers un site externe malveillant.
Informations
+

Impact

  • Contournement d’accès
  • Cross-site scripting

Criticité

  • CVSS v3 : Les scores CVSS des vulnérabilités ne sont pas encore définis

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Drupal, versions 8.4.X ;
  • Drupal, versions 7.X.

CVE

  • Pas encore référencées.

Recommandations
+

Correctifs

Il est recommandé d’appliquer les correctifs :

  • Drupal 8, mise à niveau vers Drupal 8.4.5 ;
  • Drupal 7, mise à niveau vers Drupal 7.57.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.