Drupal a corrigé une vulnérabilité d'exécution de code à distance très critique

Les développeurs de Drupal ont publié des mises à jour pour les versions 7 et 8 du système de gestion de contenu (CMS) corrigeant une nouvelle vulnérabilité très critique. Son exploitation permettrait d'exécuter du code à distance et ainsi de prendre le contrôle du site web affecté.

La vulnérabilité a été découverte alors que des chercheurs analysaient la vulnérabilité Drupalgeddon2 (CVE-2018-7600) récemment corrigée sur Drupal.

Les détails techniques relatifs à cette nouvelle vulnérabilité n'ont pas encore été rendus publics.

Informations
+

Impact

  • Exécution de code à distance.

Criticité

  • CVSS v3 : le score CVSS n'a pas encore été identifié.

Existence d’un code d’exploitation de la vulnérabilité

Composants & versions vulnérables

  • Drupal avant 7.59 ;

  • Drupal avant 8.4.8 ;

  • Drupal avant 8.5.3.

CVE

  • CVE-2018-7602

Recommandations
+

Correctifs

Si la mise à jour n'est pas possible des patchs sont disponibles :

A noter que ces patchs ne seront effectifs que si le patch corrigeant la vulnérabilité CVE-2018-7600 a été appliqué.

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement.