Vulnérabilité dans la librairie Archive_Tar de Drupal

Date de publication : 29/09/2022

CVE-2020-36193[Score CVSS v3 : 7.5] : Une vulnérabilité au sein du fichier Tar.php dans Archive_Tar a été corrigée. Cette faille est due à une vérification insuffisante des liens symboliques passés dans les fichiers en argument d’entrée. Son exploitation peut permettre à un attaquant distant et authentifié d’effectuer des opérations d'écriture non spécifiées via une attaque de type traversement de répertoires.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Injection de code arbitraire
Atteinte à l’intégrité des données
Violation des politiques de sécurité

Criticité

Score CVSS v3 : 7.5

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible à l’heure actuelle.

Composants vulnérables

Les applications suivantes utilisent une version vulnérable de Archive_Tar (<=v1.4.11), cette liste n’est pas exhaustive.

Drupal 9.1
Drupal 9.0
Drupal 8.9
Drupal 7

CVE

CVE-2020-36193

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Drupal vers une des versions suivantes :

Solution de contournement

Aucune solution de contournement n’est disponible à l’heure actuelle.

Liens

Drupal core - Critical - Third-party libraries - SA-CORE-2021-001