Drupal remplace trois vulnérabilités au noyau | Threatpost

Les développeurs avec Drupal ont corrigé trois vulnérabilités, une critique, l'une exploitée à l'état sauvage, dans le moteur de base de Drupal mercredi.

Le problème le plus pressant abordé par la mise à jour, qui apporte Drupal 8 à la version 8.3.4 et Drupal 7 à Drupal 7.56, aurait pu entraîner une exécution de code, l'équipe de sécurité du logiciel de gestion de contenu a averti. L'analyseur YAML dans Drupal 8, PECL, n'a pas réussi à gérer les objets PHP en toute sécurité pendant les opérations avec Drupal Core, selon le conseil. Cela aurait pu l'ouvrir à l'exécution de code à distance.

Un problème distinct, moins critique, existait également dans Drupal 8. Jusqu'à ce qu'il soit corrigé, la ressource REST du fichier n'a pas correctement validé les champs lors de la manipulation des fichiers. Seuls les sites sélectionnés étaient vulnérables, selon Drupal. Un site aurait dû avoir le module RESTful Web Services activé, la ressource REST du fichier activée et les demandes PATCH autorisées. En plus, un attaquant aurait dû pouvoir enregistrer un compte d'utilisateur sur ce site, avec des autorisations pour télécharger des fichiers et modifier la ressource de fichier.

Le dernier bogue a affecté Drupal 7 et Drupal 8 et a été exploité par des attaquants à des fins de spam dans le milieu sauvage. La question, limitée à la criticité modérée par les développeurs, était une vulnérabilité de dérivation d'accès à son noyau.

"Les fichiers privés qui ont été téléchargés par un utilisateur anonyme mais pas …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils