Prise de contrôle via une vulnérabilité au sein de Drupal (SA-CORE-2018-002)

Une vulnérabilité critique a été corrigée au sein du CMS Drupal. Son exploitation permettait à un attaquant de prendre le contrôle du système.

La faille de sécurité référencée CVE-2018-7600 provenait d’un manque de contrôle sur divers paramètres non spécifiés au sein des requêtes GET, POST et des cookies. Selon l’analyse du code source, le correctif permettrait de vérifier la présence du caractère « # » au début des paramètres. Cependant, aucun détail permettant de comprendre l’exploitation de la vulnérabilité n’a été publié.

Il est précisé que cette vulnérabilité est exploitable par n’importe quel utilisateur sans authentification. Celle-ci permet à un attaquant d’accéder et de modifier l’ensemble des données du serveur.

Aucun code d’exploitation ou documentation n’a pour l’heure été publié. Aucune attaque en cours n’a été observée.

Note: Ce patch ne nécessite pas de mise à jour de la base de données.

Correctifs

Le CERT-XMCO recommande l’installation des versions correctrices de Drupal :

* Drupal 6
Contacter le support via https://www.drupal.org/project/d6lts

* Drupal 7.58
https://www.drupal.org/project/drupal/releases/7.58

* Drupal 8.3.9
https://www.drupal.org/project/drupal/releases/8.3.9

* Drupal 8.4.6
https://www.drupal.org/project/drupal/releases/8.4.6

* Drupal 8.5.1
https://www.drupal.org/project/drupal/releases/8.5.1

Références

https://www.drupal.org/sa-core-2018-002
https://groups.drupal.org/security/faq-2018-002
https://www.drupal.org/psa-2018-001

Références portail XMCO

CXA-2018-1283

CXN-2018-1219

CERT-XMCO

Découvrir d'autres articles