Une faille critique a été identifiée dans Drupal 8. Cette faille permet de passer outre les restrictions d'accès aux contenus. Cette faille est répertoriée CVE-2017-6919.

Fort heureusement, cela ne veut pas dire que tous les sites en Drupal 8 sont vulnérables, car plusieurs conditions doivent être réunies pour que la faille puisse être exloitée. Ces conditions sont :

• Le module RESTful Web Services doit être activé
• Le site autorise les requêtes PATCH
• L'attaquant peut créer un compte sur le site ou en possède un. Ce qui concrètement signifie que tous les utilisateurs identifiés sont des attaquants potentiels.

Drupal 7 n'est pas touché par la vulnérabilité. En ce qui concerne Drupal 8, seules sont vulnérables les versions antérieures à 8.2.8 et 8.3.1.

Un correctif est d'ores et déjà disponible et les administrateurs de sites vulnérables devraient l'appliquer de toute urgence.