[PATCH][DRUPAL] Prise de contrôle d'un système via 3 vulnérabilités au sein de modules Drupal 7

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la publication de trois vulnérabilités affectant le CMS Drupal 7.


Description :

Trois vulnérabilités ont été corrigées au sein de 3 modules du CMS Drupal. Leur exploitation permettait à un attaquant d’exécuter du code à distance.

La première faille de sécurité provenait d’un mauvais filtrage des requêtes URL du module RESTWS, permettant alors l’exécution de code à distance.

La seconde faille de sécurité provenait d’une mauvaise vérification des données entrées au sein d’un script du module Coder, permettant alors l’exécution de code à distance.

La troisième faille de sécurité provenait d’un mauvais filtrage des entrées de formulaire du module Webform Multiple File Upload, permettant alors l’exécution de code à distance.


Vulnérables :

  • Drupal 7.x
  • RESTful Web Services 7.x-2.x < 7.x-2.6.
  • RESTful Web Services 7.x-1.x < 7.x-1.7.
  • Coder module 7.x-1.x < 7.x-1.3.
  • Coder module 7.x-2.x < 7.x-2.6.
  • Webform Multifile 7.x-1.x < 7.x-1.4

Non vulnérables :

  • RESTful Web Services 7.x-2.6.
  • RESTful Web Services 7.x-1.7
  • Coder module 7.x-1.3.
  • Coder module 7.x-2.6.
  • Webform Multifile 7.x-1.4

Recommandation :
Le Cert-XMCO recommande d’installer les derniers correctifs pour ces modules-ci, disponibles au sein de votre panneau d’administration Drupal.

Référence :

Référence CERT-XMCO :
CXA-2016-2273

Adrien Guinault

Découvrir d'autres articles

  • conflit israélo-palestinien
    Cyber Threat Intelligence

    Retour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien

    Lire l'article
  • Veille / Vulnérabilités

    Exploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing

    Lire l'article
  • Veille / Vulnérabilités

    10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA

    Lire l'article