Vulnérabilités dans Drupal
Date de publication :
CVE-2020-13677[Score CVSS v3.1 :7]
Une vulnérabilité concernant le module JSON:API a été découverte. Lorsque celle-ci est exploitée, un attaquant distant peut utiliser une requête forgée dans le but de surpasser les restrictions d’accès et de s’octroyer une élévation de privilèges.
CVE-2020-13676[Score CVSS v3.1 :7,5]
Une vulnérabilité découverte dans le module QuickEdit de Drupal permet à un attaquant distant de surpasser les restrictions d’accès via une requête forgée. L’exploitation de cette vulnérabilité permet à l’attaquant d’avoir accès à des données sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
-
Accès aux données sensibles
Intrusion système
Elévation de privilèges
Criticité
-
Score CVSS v3.1: 7, 5 max
CVE
Composants vulnérables
-
Les versions Drupal : 8.9.18 / 9.1.12 / 9.2.5
Solutions ou recommandations
- Mettre à jour le composant conformément aux instructions de l’éditeur.