Drupal a annoncé deux vulnérabilités affectant les versions 9.2 et 9.3 qui pourraient permettre à un attaquant de télécharger des fichiers malveillants et de prendre le contrôle d’un site. Les niveaux de menace des deux vulnérabilités sont classés comme modérément critiques. La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a averti que les exploits pourraient conduire un attaquant à prendre le contrôle d’un site Web vulnérable basé sur Drupal.
CISA a déclaré :
« Drupal a publié des mises à jour de sécurité pour corriger les vulnérabilités affectant Drupal 9.2 et 9.3. Un attaquant pourrait exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté.
Drupal
Drupal est un système de gestion de contenu open source populaire écrit dans le langage de programmation PHP. De nombreuses grandes organisations telles que la Smithsonian Institution, Universal Music Group, Pfizer, Johnson & Johnson, l’Université de Princeton et l’Université de Columbia utilisent Drupal pour leurs sites Web.
API de formulaire – Validation d’entrée incorrecte
La première vulnérabilité affecte l’API de formulaire de Drupal. La vulnérabilité est une validation d’entrée incorrecte, ce qui signifie que ce qui est téléchargé via l’API du formulaire n’est pas validé quant à savoir s’il est autorisé ou non. La validation de ce qui est téléchargé ou saisi dans un formulaire est une bonne pratique courante. En général, la validation des entrées est effectuée avec une approche de liste autorisée où le formulaire attend des entrées spécifiques et rejettera tout ce qui ne correspond pas à l’entrée ou au téléchargement attendu. Lorsqu’un formulaire ne parvient pas à valider une entrée, cela laisse le site Web ouvert au téléchargement de fichiers pouvant déclencher un comportement indésirable dans l’application Web.
L’annonce de Drupal a expliqué le problème spécifique :
« L’API de formulaire de Drupal Core présente une vulnérabilité dans laquelle certains formulaires de modules contribués ou personnalisés peuvent être vulnérables à une validation d’entrée incorrecte. Cela pourrait permettre à un attaquant d’injecter des valeurs non autorisées ou d’écraser des données. Les formulaires concernés sont rares, mais dans certains cas, un attaquant pourrait modifier des données critiques ou sensibles.
Drupal Core – Contournement d’accès
Le contournement d’accès est une forme de vulnérabilité où il peut y avoir un moyen d’accéder à une partie du site via un chemin auquel il manque une vérification de contrôle d’accès, ce qui permet dans certains cas à un utilisateur d’accéder à des niveaux qu’il n’a pas autorisations pour.
L’annonce de Drupal décrit la vulnérabilité :
« Drupal 9.3 a implémenté une API générique d’accès aux entités pour les révisions d’entités. Cependant, cette API n’a pas été complètement intégrée aux autorisations existantes, ce qui a entraîné un éventuel contournement d’accès pour les utilisateurs qui ont accès aux révisions de contenu en général, mais qui n’ont pas accès à des éléments individuels de nœud et de contenu multimédia.
Les éditeurs sont encouragés à consulter les avis de sécurité et à appliquer les mises à jour
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et Drupal encouragent les éditeurs à consulter les avis de sécurité et à mettre à jour les dernières versions.
Citations
Lire le bulletin officiel de vulnérabilité Drupal CISA
Drupal publie des mises à jour de sécurité
Lire les deux annonces de sécurité Drupal
Noyau Drupal – Modérément critique – Validation d’entrée incorrecte – SA-CORE-2022-008 Noyau Drupal – Modérément critique – Contournement d’accès – SA-CORE-2022-009