[PATCH][DRUPAL] Prise de contrôle d’un système via 3 vulnérabilités au sein de modules Drupal 7

[PATCH][DRUPAL] Prise de contrôle d’un système via 3 vulnérabilités au sein de modules Drupal 7

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la publication de trois vulnérabilités affectant le CMS Drupal 7.


Description :

Trois vulnérabilités ont été corrigées au sein de 3 modules du CMS Drupal. Leur exploitation permettait à un attaquant d’exécuter du code à distance.

La première faille de sécurité provenait d’un mauvais filtrage des requêtes URL du module RESTWS, permettant alors l’exécution de code à distance.

La seconde faille de sécurité provenait d’une mauvaise vérification des données entrées au sein d’un script du module Coder, permettant alors l’exécution de code à distance.

La troisième faille de sécurité provenait d’un mauvais filtrage des entrées de formulaire du module Webform Multiple File Upload, permettant alors l’exécution de code à distance.


Vulnérables :

  • Drupal 7.x
  • RESTful Web Services 7.x-2.x < 7.x-2.6.
  • RESTful Web Services 7.x-1.x < 7.x-1.7.
  • Coder module 7.x-1.x < 7.x-1.3.
  • Coder module 7.x-2.x < 7.x-2.6.
  • Webform Multifile 7.x-1.x < 7.x-1.4

Non vulnérables :

  • RESTful Web Services 7.x-2.6.
  • RESTful Web Services 7.x-1.7
  • Coder module 7.x-1.3.
  • Coder module 7.x-2.6.
  • Webform Multifile 7.x-1.4

Recommandation :
Le Cert-XMCO recommande d’installer les derniers correctifs pour ces modules-ci, disponibles au sein de votre panneau d’administration Drupal.

Référence :

Référence CERT-XMCO :
CXA-2016-2273


Jean-Christophe Pellat

Cert-XMCO