Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée (14 au 20 août). Nous vous proposons de revenir sur la publication d’un correctif pour le CMS Drupal. L’exploitation de ces vulnérabilités permettait à un attaquant distant de contourner des mécanismes de sécurité.
Description
3 vulnérabilités ont été corrigées au sein de Drupal. Leur exploitation permettait à un attaquant de contourner des mécanismes de sécurité.
La première faille de sécurité référencée CVE-2017-6923 provenait d’une erreur de restriction au sein du module de gestion des vues. Un utilisateur pouvait effectuer des requêtes Ajax au sein d’une vue qui n’était pas configurée pour recevoir de telles requêtes.
La seconde vulnérabilité référencée CVE-2017-6924 était due à un manque de vérification au sein du module de commentaires utilisant l’API REST. Un attaquant était en mesure d’utiliser l’API pour poster des commentaires marqués comme « approuvés » même s’il ne disposait pas de tels droits.
La troisième vulnérabilité, référencée CVE-2017-6925 provenait d’un manque de vérification au sein du système d’accès des entités. Un utilisateur non autorisé pouvait consulter, créer, mettre à jour ou supprimer des entités ne disposant pas d’UUIDs ou disposant de restrictions d’accès différentes sur deux révisions distinctes.
Recommandation
Le CERT-XMCO recommande l’installation de la version 8.3.7 de Drupal, disponible à l’adresse suivante :
http://ftp.drupal.org/files/projects/drupal-8.3.7.tar.gz
Référence(s)
https://www.drupal.org/SA-CORE-2017-004