[ad_1]
Les développeurs de Drupal ont informé mercredi les utilisateurs que les mises à jour publiées pour Drupal 8.9, 9.1 et 9.2 corrigent cinq vulnérabilités pouvant être exploitées pour la contrefaçon de requêtes intersites (CSRF) et le contournement d’accès.
Trois des failles sont liées au contournement d’accès. Ils impliquent les modules JSON:API, REST/File et QuickEdit, et ils peuvent permettre à un attaquant d’accéder à des données ou de télécharger des fichiers arbitraires, mais certaines conditions doivent être remplies pour qu’une attaque fonctionne.
Quant aux failles CSRF, elles impactent les modules Media et QuickEdit. Selon les développeurs de Drupal, leur exploitation pourrait conduire à l’injection de code HTML dans une page accessible par un utilisateur de confiance et à d’éventuels problèmes d’intégrité des données, respectivement.
Toutes les vulnérabilités ont reçu un indice de gravité modérément critique. Il convient de noter que Drupal classe les vulnérabilités en fonction du système de notation des abus communs du NIST et que modérément critique est à peu près l’équivalent de la gravité moyenne dans le système de notation des vulnérabilités communes (CVSS).
Les vulnérabilités ont été corrigées avec la sortie des versions 9.2.6, 9.1.13 et 8.9.19. Drupal 7 n’est pas affecté, et Drupal 8 avant 8.9.x et Drupal 9 avant 9.1.x ont atteint la fin de leur vie et ne recevront pas de correctifs.
Il s’agit de la sixième série de mises à jour de sécurité publiées cette année pour Drupal. Drupal n’est pas autant ciblé par les hackers que WordPress, ce qui n’est pas surprenant étant donné que Drupal n’est utilisé que sur 1% des sites alors que WordPress est utilisé par plus de 42%. Cependant, les pirates informatiques ciblant les sites Web Drupal lors d’attaques de masse ne sont pas rares, les utilisateurs ne doivent donc pas ignorer les correctifs de sécurité.
Connexes : Drupal publie des mises à jour de sécurité hors bande en raison de la disponibilité des exploits
Connexe : Vulnérabilité d’exécution de code à distance corrigée dans Drupal
En relation: Drupal met à jour CKEditor pour corriger les vulnérabilités XSS
Connexes : Divulgation d’informations, vulnérabilités XSS corrigées dans Drupal