Vulnérabilités dans Drupal

CVE-2020-13677 [Score CVSS v3.1 :7]
Une vulnérabilité concernant le module JSON:API a été découverte. Lorsque celle-ci est exploitée, un attaquant distant peut utiliser une requête forgée dans le but de surpasser les restrictions d’accès et de s’octroyer une élévation de privilèges.

CVE-2020-13676 [Score CVSS v3.1 :7,5] 
Une vulnérabilité découverte dans le module QuickEdit de Drupal permet à un attaquant distant de surpasser les restrictions d’accès via une requête forgée. L’exploitation de cette vulnérabilité permet à l’attaquant d’avoir accès à des données sensibles.

Informations
+

Risques

  • Accès aux données sensibles
  • Intrusion système
  • Elévation de privilèges

Criticité

  • Score CVSS v3.1: 7, 5 max

CVE

Composants vulnérables

  • Les versions Drupal : 8.9.18 / 9.1.12 / 9.2.5 

Recommandations
+
  • Mettre à jour le composant conformément aux instructions de l’éditeur.