Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la publication de trois vulnérabilités affectant le CMS Drupal 7.
Description :
Trois vulnérabilités ont été corrigées au sein de 3 modules du CMS Drupal. Leur exploitation permettait à un attaquant d’exécuter du code à distance.
La première faille de sécurité provenait d’un mauvais filtrage des requêtes URL du module RESTWS, permettant alors l’exécution de code à distance.
La seconde faille de sécurité provenait d’une mauvaise vérification des données entrées au sein d’un script du module Coder, permettant alors l’exécution de code à distance.
La troisième faille de sécurité provenait d’un mauvais filtrage des entrées de formulaire du module Webform Multiple File Upload, permettant alors l’exécution de code à distance.
Vulnérables :
- Drupal 7.x
- RESTful Web Services 7.x-2.x < 7.x-2.6.
- RESTful Web Services 7.x-1.x < 7.x-1.7.
- Coder module 7.x-1.x < 7.x-1.3.
- Coder module 7.x-2.x < 7.x-2.6.
- Webform Multifile 7.x-1.x < 7.x-1.4
Non vulnérables :
- RESTful Web Services 7.x-2.6.
- RESTful Web Services 7.x-1.7
- Coder module 7.x-1.3.
- Coder module 7.x-2.6.
- Webform Multifile 7.x-1.4
Recommandation :
Le Cert-XMCO recommande d’installer les derniers correctifs pour ces modules-ci, disponibles au sein de votre panneau d’administration Drupal.
Référence :
Référence CERT-XMCO :
CXA-2016-2273
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article