Une vulnérabilité critique a été détectée dans Drupal la semaine dernière. Simple à exploiter, elle peut avoir un impact direct sur l’image de votre entreprise. Cette faille permet donc à un attaquant de forcer le serveur à exécuter du code PHP arbitraire sans authentification préalable et ainsi prendre le contrôle de l’application et du système.
Elle est due à un défaut sur différents modules. En disposant de l’un ou l’autre de ces modules, vous êtes alors susceptible d’être hacké :
– Du module RESTful Web Services de Drupal 8 (via l’envoi de requêtes HTTP PUT, PATCH, POST et GET)
– D’un module tiers additionnel tel que JSON:API sous Drupal 8 ;
– Ou du module RESTful Web Services sous Drupal 7.

Que faire pour se protéger de cette vulnérabilité ?

Si vous disposez de la version 8.6.x, il faudra la mettre à jour vers la version 8.6.10, de même pour la version 8.5.x vers la version 8.5.11. En revanche si vous disposez de la version 7 de Drupal, il n’y a pas de mise à jour à effectuer.
Pour les versions de Drupal 7 et 8, des correctifs ont été mis en place sur les modules suivants :
• RESTful Web Services < 2.8 (Drupal 7.x)
• Link < 1.6 (Drupal 7.x)
• JSON:API 1.x < 1.25 et 2.x < 2.3  (Drupal 8.x)
• Metatag < 1.8 (Drupal 8.x)
• Video < 1.4 (Drupal 8.x)
• Paragraphs < 1.6 (Drupal 8.x)
• Translation Management Tool < 1.7 (Drupal 8.x)
• Font Awesome Icons < 2.12 (Drupal 8.x)

Faites les mises à jour nécessaires et utilisez votre site Drupal plus sereinement 😉

Si vous n’êtes pas en mesure de réaliser ses mises à jour, n’hésitez pas à contacter le service développement d’Icodia