Drupal a publié un avis de sécurité concernant quatre vulnérabilités critiques classées de modérément critiques à critiques. Les vulnérabilités affectent les versions 9.3 et 9.4 de Drupal.
L’avis de sécurité a averti que les diverses vulnérabilités pourraient permettre à un pirate d’exécuter du code arbitraire, mettant un site et un serveur en danger.
Ces vulnérabilités n’affectent pas la version 7 de Drupal.
De plus, toutes les versions de Drupal antérieures à 9.3.x ont atteint le statut de fin de vie, ce qui signifie qu’elles ne reçoivent plus de mises à jour de sécurité, ce qui rend leur utilisation risquée.
Vulnérabilité critique : exécution arbitraire de code PHP
Une vulnérabilité d’exécution de code PHP arbitraire est une vulnérabilité dans laquelle un attaquant est capable d’exécuter des commandes arbitraires sur un serveur.
La vulnérabilité est survenue involontairement en raison de deux fonctionnalités de sécurité censées bloquer les téléchargements de fichiers dangereux, mais ont échoué car elles ne fonctionnaient pas bien ensemble, ce qui a entraîné la vulnérabilité critique actuelle qui peut entraîner une exécution de code à distance.
« … les protections contre ces deux vulnérabilités ne fonctionnaient pas correctement ensemble auparavant.
Par conséquent, si le site était configuré pour autoriser le téléchargement de fichiers avec une extension htaccess, les noms de fichiers de ces fichiers ne seraient pas correctement filtrés.
Cela pourrait permettre de contourner les protections fournies par les fichiers .htaccess par défaut du noyau Drupal et une éventuelle exécution de code à distance sur les serveurs Web Apache.
Une exécution de code à distance se produit lorsqu’un attaquant est capable d’exécuter un fichier malveillant et de prendre le contrôle d’un site Web ou de l’ensemble du serveur. Dans ce cas particulier, l’attaquant est capable d’attaquer le serveur Web lui-même lors de l’exécution du logiciel de serveur Web Apache.
Apache est un logiciel de serveur Web open source sur lequel tout le reste, comme PHP et WordPress, s’exécute. C’est essentiellement la partie logicielle du serveur lui-même.
Vulnérabilité de contournement d’accès
Cette vulnérabilité, classée comme modérément critique, permet à un attaquant de modifier des données auxquelles il n’est pas censé avoir accès.
Selon l’avis de sécurité :
« Dans certaines circonstances, l’API de formulaire principal de Drupal évalue de manière incorrecte l’accès aux éléments de formulaire.
…Aucun formulaire fourni par le noyau Drupal n’est connu pour être vulnérable. Cependant, les formulaires ajoutés via des modules ou des thèmes contribués ou personnalisés peuvent être affectés.
Vulnérabilités multiples
Drupal a publié un total de quatre avis de sécurité :
Cet avis met en garde contre de multiples vulnérabilités affectant Drupal qui peuvent exposer un site à différents types d’attaques et de résultats.
Voici quelques-uns des problèmes potentiels :
- Exécution arbitraire de code PHP
- Script intersite
- Biscuits qui ont fui
- Vulnérabilité de contournement d’accès
- Accès non autorisé aux données
- Vulnérabilité de divulgation d’informations
Mise à jour de Drupal recommandée
L’avis de sécurité de Drupal recommandait de mettre à jour immédiatement les versions 9.3 et 9.4.
Les utilisateurs de Drupal version 9.3 doivent passer à la version 9.3.19.
Les utilisateurs de Drupal version 9.4 doivent passer à la version 9.4.3.
Citation
Noyau Drupal – Critique – Exécution de code PHP arbitraire
Image sélectionnée par Shutterstock/solarseven