Vulnérabilité dans Drupal core

Une vulnérabilité a été découverte dans Drupal core. Un attaquant distant peut exécuter du code Javascript arbitraire sur le navigateur du client.

CVE-2020-13668 [Score CVSS v3 : En cours de calcul, Score CMSS : 15/25] : Une vulnérabilité de type XSS a été découverte dans Drupal core. Un attaquant distant peut exécuter du code Javascript arbitraire sur le navigateur du client via l’affichage de formulaires spécialement conçus.

Informations
+

Risques

  • Exécution de code Javascript arbitraire sur le navigateur client (XSS)

Criticité

  • Score CVSS v3 : En cours de calcul, Score CMSS : 15/25

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Drupal 8.8 avant la version 8.8.10.

  • Drupal 8.9 avant la version 8.9.6.

  • Drupal 9.0 avant la version 9.0.6.

CVE

  • CVE-2020-13668


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Drupal vers une version non-vulnérable (voir la section “Composants vulnérables”)

Solution de contournement

  • Aucune solution de contournement n’est disponible