Vulnérabilités dans le système de gestion Drupal
Date de publication :
Deux vulnérabilités critiques ont été découvertes dans le système de gestion Drupal. Ces dernières sont similaires à une vulnérabilité critique concernant Drupal traitée une semaine plus tôt bien qu’elles ne concernent pas les mêmes types de fichier.
CVE-2020-28948, CVE-2020-28949[Score CVSS v3 : 7.8] : Cette vulnérabilité permet à un attaquant distant et authentifié d’exécuter du code arbitraire. Cette faille est due à une trop faible vérification des métadonnées PHP de type Phar pendant leur désérialisation, issue de la décompression des fichiers archivés dans lesquels elles se trouvent. Un attaquant peut alors télécharger sur Drupal une archive malveillante dans le but d’injecter de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
[Score CVSS v3 : En cours de calcul]
Existence d’un code d’exploitation
Un code d’exploitation détaillé est disponible ici :
Composants vulnérables
Drupal v9.0
Drupal v8.9
Drupal v8.8
Drupal v7
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mise à jour vers :
Drupal v9.0.9
Drupal v8.9.10
Drupal v8.8.12
Drupal v7.75
Solution de contournement
Il est possible de contourner le problème temporairement en interdisant le téléchargement d’archive sur le serveur Drupal
Néanmoins, il est dans tous les cas nécessaire que l’administrateur en charge de Drupal effectue une vérification des fichiers mis en ligne par les utilisateurs.
Les extensions pouvant être considérées comme potentiellement malveillantes sont les suivantes (liste non-exhaustive):
.tar
.tar.gz
.bz2
.tlz