Exécution de code à distance sur Drupal
CVE-2019-6340
Sources
https://www.drupal.org/sa-core-2019-003
Risques
Drupal a publié des mises à jour de sécurité pour traiter une vulnérabilité dans Drupal Core. Un acteur malveillant pourrait exploiter cette vulnérabilité pour prendre le contrôle d'un système affecté à distance.
Description
Cette vulnérabilité, enregistrée sous CVE-2019-6340, est considérée comme hautement critique par Drupal. Une validation de principe a été publiée.
La vulnérabilité réside dans le fait qu'un acteur malveillant pourrait potentiellement ajouter des champs à un formulaire avec des requêtes PUT / PATCH / POST, ce qui permettrait d'exécuter du code PHP arbitraire à distance.
Les sites Web vulnérables sont ceux qui utilisent les services Drupal et qui permettent les requêtes PATCH et POST. Les sites Web Drupal 8 qui ont comme module actif JSON:API. Pour les sites Drupal 7, les modules actifs impactés sont Services et RESTful Web Services.
Actions recommandées
CERT.be recommande aux administrateurs de mettre à jour leur version Drupal.
- Si vous utilisez Drupal 8.6.x, mettez à jour vers Drupal 8.6.10.
- Si vous utilisez Drupal 8.5.x ou une version antérieure, passez à Drupal 8.5.11.
- Assurez-vous d'installer toutes les mises à jour de sécurité disponibles pour les projets contribués après la mise à jour du noyau Drupal.
- Aucune mise à jour du noyau n'est nécessaire pour Drupal 7, mais plusieurs modules open source de Drupal 7 nécessitent des mises à jour.
- Les versions de Drupal 8 antérieures à 8.5.x sont en fin de vie et ne sont pas couvertes par la sécurité.
Si la mise à jour n'est pas possible immédiatement, vous pouvez atténuer la vulnérabilité en désactivant tous les modules de services Web ou en configurant votre serveur Web pour ne pas autoriser les requêtes PUT/PATCH/POST aux ressources des services Web.