Les développeurs de Drupal ont publié des mises à jour pour les versions 7 et 8 du système de gestion de contenu (CMS) corrigeant une nouvelle vulnérabilité très critique. Son exploitation permettrait d'exécuter du code à distance et ainsi de prendre le contrôle du site web affecté.
La vulnérabilité a été découverte alors que des chercheurs analysaient la vulnérabilité Drupalgeddon2 (CVE-2018-7600) récemment corrigée sur Drupal.
Les détails techniques relatifs à cette nouvelle vulnérabilité n'ont pas encore été rendus publics.
Impact
- Exécution de code à distance.
Criticité
- CVSS v3 : le score CVSS n'a pas encore été identifié.
Existence d’un code d’exploitation de la vulnérabilité
- Un code permettant d'exploiter la vulnérabilité sur Drupal 7 est disponible.
Composants & versions vulnérables
- Drupal avant 7.59 ;
- Drupal avant 8.4.8 ;
- Drupal avant 8.5.3.
CVE
- CVE-2018-7602
Correctifs
- Drupal 7.x : mise à jour vers Drupal 7.59 ;
- Drupal 8.4.x : mise à jour vers Drupal 8.4.8 ;
- Drupal 8.5.x : mise à jour vers Drupal 8.5.3.
Si la mise à jour n'est pas possible des patchs sont disponibles :
A noter que ces patchs ne seront effectifs que si le patch corrigeant la vulnérabilité CVE-2018-7600 a été appliqué.
Solution de contournement
- Il n'existe pas actuellement de solution de contournement.