Drupal a publié un patch pour corriger un certain nombre de vulnérabilités critiques dans Drupal Core
janvier 2019 par Gavin Millard, VP of Intelligence Pour Tenable
« La première vulnérabilité est CVE-2018-1000888, dans PEAR Archive_Tar, une bibliothèque tierce intégrée à Drupal core. Un proof-of-concept est disponible pour cette vulnérabilité, mais il n’est pas adapté à Drupal et les configurations qui pourraient être affectées par cette vulnérabilité sont rares.
La seconde est une vulnérabilité d’exécution de code à distance dans le flux Phar disponible depuis PHP. Selon les experts, cette vulnérabilité a été corrigée en raison d’une exposition possible due à la façon dont certains codes Drupal peuvent effectuer des opérations de fichiers sur des entrées utilisateur insuffisamment validées. Cependant, l’impact de cette vulnérabilité est atténué en raison des autorisations (administratives) requises pour l’exploiter.
Bien qu’il n’y ait actuellement aucune preuve que ces vulnérabilités ont été utilisées, le fait que de nombreuses organisations utilisent Drupal pour le back-end de leur site web est préoccupant. Les données sensibles ne sont peut-être pas accessibles par ces failles, mais la moindre modification sur le site peut avoir un impact négatif sur la marque en générant des alertes ou même des fake news.
Comme toujours, la première recommandation est d’appliquer les correctifs disponibles dès que possible ou de prendre des mesures correctives pour minimiser le risque.
De façon plus large, avec la découverte quotidienne de nouvelles vulnérabilités critiques, les entreprises doivent rapidement déterminer le risque théorique du risque réel pour leur entreprise et prendre les mesures nécessaires pour réduire leur Cyber Exposure ».