Une vulnérabilité d'exécution de code arbitraire à distance a été découverte dans plusieurs versions de Drupal. L'exploitation de cette vulnérabilité pourrait permettre aux attaquants de compromettre un site Drupal en exécutant du code arbitraire à distance. La vulnérabilité serait liée à un problème affectant plusieurs sous-systèmes dont la configuration est commune ou par défaut.
Impact
- Exécution de code arbitraire à distance.
Criticité
- Drupal : 21/25
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Drupal avant 7.58 ;
- Drupal 8.3.x avant 8.3.9 ;
- Drupal 8.4.x avant 8.4.6 ;
- Drupal 8.5.x avant 8.5.1.
CVE
- CVE-2018-7600
Correctifs
- Drupal 7.x : mise à jour vers Drupal 7.58 ou appliquer ce patch.
- Drupal 8.3.x : mise à jour vers Drupal 8.3.9 ou appliquer ce patch.
- Drupal 8.4.x : mise à jour vers Drupal 8.4.6 ou appliquer ce patch.
- Drupal 8.5.x : mise à jour vers Drupal 8.5.1 ou appliquer ce patch.
Solution de contournement
- Il n'existe pas actuellement de solution de contournement.