Vulnérabilité dans le système de gestion Drupal
Date de publication :
CVE-2020-13672 [Score CVSS v3 : 6.1]
L'API d'assainissement de Drupal core ne filtre pas correctement les scripts intersites (XSS) dans certaines circonstances. Tous les sites et utilisateurs ne sont pas concernés, mais les changements de configuration pour empêcher l'exploitation peuvent être peu pratiques et sont différents selon les sites. Par conséquent, il est recommandé à tous les sites d'effectuer une mise à jour dès que possible.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Exposition d’informations sensibles
Criticité
- Score CVSS v3 : 6.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
Les versions suivantes de Drupal sont impactées par ces vulnérabilités.
- De 9.1.0 à 9.1.7
- De 9.0.0 à 9.0.12
- De 8.9 à 8.9.14
- De 7.0 à 7.80
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Drupal vers une des versions suivantes :
- 9.1.7
- 9.0.12
- 8.9.14
- 7.80
Les versions de Drupal 8 antérieures à 8.9.x sont dépréciées et ne recevront pas de mise à jour de sécurité.
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.