Alerte vulnérabilité Drupal

Drupal est un système de gestion de contenu (CMS) libre et Open-source. La première version de drupal date de Janvier 2001, la dernière version disponible au moment de l’écriture de l’article est la version 8.5.3 ( Avril 2018)

Une vulnérabilité critique a été corrigée au niveau du CMS Drupal ce 28 Mars 2018. Le correctif a été diffusé   à 20h.

Étant donné la gravité de ces vulnérabilités, un patch est exceptionnellement proposé pour les anciennes versions 8.3.X et 8.4.X.

Il est à craindre  que ces vulnérabilités soient rapidement exploitées après la publication de ces patchs. Il est donc très important de procéder aux mise à jour, ou tout du moins de prendre la mesure de l’exposition encourue sur vos sites.

Une des vulnérabilités critiques provient d’un manque de contrôle sur plusieurs paramètre au niveau des requêtes GET,POST et des Cookes. L’erreur proviendrait d’une manque de vérification au niveau du caractère #. Cette vulnérabilité est exploitable sans authentification ( en mode anonyme).