Une vulnérabilité critique a été corrigée au sein du CMS Drupal. Son exploitation permettait à un attaquant de prendre le contrôle du système.
La faille de sécurité référencée CVE-2018-7600 provenait d’un manque de contrôle sur divers paramètres non spécifiés au sein des requêtes GET, POST et des cookies. Selon l’analyse du code source, le correctif permettrait de vérifier la présence du caractère « # » au début des paramètres. Cependant, aucun détail permettant de comprendre l’exploitation de la vulnérabilité n’a été publié.
Il est précisé que cette vulnérabilité est exploitable par n’importe quel utilisateur sans authentification. Celle-ci permet à un attaquant d’accéder et de modifier l’ensemble des données du serveur.
Aucun code d’exploitation ou documentation n’a pour l’heure été publié. Aucune attaque en cours n’a été observée.
Note: Ce patch ne nécessite pas de mise à jour de la base de données.
Correctifs
Le CERT-XMCO recommande l’installation des versions correctrices de Drupal :
* Drupal 6
Contacter le support via https://www.drupal.org/project/d6lts
* Drupal 7.58
https://www.drupal.org/project/drupal/releases/7.58
* Drupal 8.3.9
https://www.drupal.org/project/drupal/releases/8.3.9
* Drupal 8.4.6
https://www.drupal.org/project/drupal/releases/8.4.6
* Drupal 8.5.1
https://www.drupal.org/project/drupal/releases/8.5.1
Références
https://www.drupal.org/sa-core-2018-002
https://groups.drupal.org/security/faq-2018-002
https://www.drupal.org/psa-2018-001
Références portail XMCO
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article