Une vulnérabilité critique affectant Drupal sera divulguée le 20 février 2019 entre 19h et 23h

L’équipe de développement du CMS Drupal a récemment publié un communiqué annonçant la mise à disposition prochaine d’une nouvelle version de Drupal 8, qui corrige une vulnérabilité critique. Celle-ci sera disponible le 20 février 2019, entre 19h00 et 23h00 (heure française). Aucune mise à jour n’est nécessaire concernant Drupal 7 Core, mais il pourrait être nécessaire de mettre à jour certains modules pour cette version. L’éditeur n’est pas actuellement en mesure de fournir une liste complète des modules impactés.

Selon les développeurs, la vulnérabilité serait critique et exploitable à distance sans authentification (RCE pre-auth). Toutefois, il est précisé que la vulnérabilité n’impacte qu’une configuration particulière du CMS.

À l’heure actuelle, aucune autre information concernant cette vulnérabilité n’est disponible. Cependant, l’équipe Drupal recommande de se tenir prêt à mettre à jour le plus rapidement possible.

Recommandations

• Prendre les mesures nécessaires pour opérer la mise à jour du CMS Drupal le plus tôt possible ;
• Affiner cette recherche afin d’identifier d’éventuels autres sites utilisant le CMS Drupal.

Pour nos clients, l’inventaire des applicatifs exposés sur internet est maintenu à jour en temps réel au travers de notre service de Cyber-surveillance Serenety. Cette surveillance nous a permis de les alerter de manière réactive à propos des assets concernés par cette menace, afin qu’ils prennent les mesures d’anticipation nécessaires pour se prémunir contre l’exploitation de cette faille critique. Par ailleurs, dès lors que plus d’informations seront disponibles, une analyse détaillée de l’état de vulnérabilités de leurs assets sera réalisée en complément afin d’affiner notre diagnostic.