Drupal, des failles critiques sont corrigées en urgence

Drupal vient de corriger plusieurs vulnérabilités critiques. Elles permettent l’exécution de codes à distance. Une personne malveillante à la possibilité d’exploiter les installations de ce CMS.

Drupal est un système de gestion de contenu libre et open-source publié sous la licence publique générale GNU, et écrit en PHP. Sans l’utilisation d’une version corrigée, la situation est jugée grave.

Avec suffisamment de privilèges associés, un pirate peut créer de nouveaux comptes avec tous les droits de l’utilisateur. A partir de là, il peut afficher, modifier et supprimer des données sur le système piraté. Par conséquent, les serveurs compromis sur lesquels Drupal est lancé seront beaucoup moins vulnérable si l’utilisateur connecté dispose de droits limités.

Drupal, plusieurs failles critiques sont corrigées

Une faille existe dans le système de messagerie Drupal par défaut en raison d’une vérification incorrecte des arguments du shell. La situation peut compromettre totalement la sécurité d’un site Web. Le deuxième problème de sécurité critique corrigé concerne le module de Liens contextuels. Selon Drupal

« Cette vulnérabilité est atténuée par le fait qu’un attaquant doit avoir un rôle avec l’autorisation d’accéder aux liens contextuels »

Pour atténuer ces vulnérabilités et d’autres, il est conseillé aux administrateurs de sites Web de mettre à niveau leur installation Drupal 7 ou 8 de base. La branche 7.x doit adopter la version 7.6, la branche 8.6.x la version 8.6.2 et la branche 8.5.x la version 8.5.8.