Vulnérabilités dans Drupal
Date de publication :
De multiples vulnérabilités ont été découvertes dans Drupal, système de gestion de contenu libre. Un attaquant distant peut faire exécuter des requêtes arbitraires à un utilisateur, ainsi qu’exécuter du code PHP arbitraire.
CVE-2020-13663 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité de type CSRF a été découverte dans Drupal. Un attaquant distant exploitant cette vulnérabilité peut faire exécuter des requêtes arbitraires au navigateur d’un utilisateur visitant la page vulnérable, via l’envoi d’entrées de formulaires spécialement conçues.
CVE-2020-13664 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans Drupal. Un attaquant distant exploitant cette vulnérabilité peut exécuter du code PHP arbitraire. L’attaque requiert qu’un administrateur visite un site contrôlé par l’attaquant, afin de provoquer l’apparition d’un dossier au nom spécialement conçu dans l’arborescence du site vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de requêtes arbitraires par les utilisateurs
Exécution de code arbitraire
Criticité
Score CVSS v3 : en cours de calcul
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
Drupal 7 avant la version 7.72 (CVE-2020-13663)
Drupal 8.8 avant la version 8.8.8 (CVE-2020-13663 et CVE-2020-13664)
Drupal 8.9 avant la version 8.9.1 (CVE-2020-13663 et CVE-2020-13664)
Drupal 9.0 avant la version 9.0.1 (CVE-2020-13663 et CVE-2020-13664)
CVE
CVE-2020-13663
CVE-2020-13664
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Drupal vers une version non-vulnérable (voir la section “Composants vulnérables”)
Solution de contournement
Aucune solution de contournement n’est disponible