Une vulnérabilité hautement critique a été découverte dans Drupal 8. Un défaut d'assainissement des données reçues par le célère CMS en dehors des formulaires induit cette vulnérabilité qui, si elle est exploitée, peut conduire à l'exécution de code PHP arbitraire à distance. Ceci lorsque le module 'Core' RESTful Web Services (rest) de Drupal 8 est activé, ou si un autre module de type Web Services (tel que JSON:API par exemple) est installé et activé.

Cette vulnérabilité concerne les branche 8.6.x et 8.5.x de Drupal 8 (Les versions antérieures, en fin de vie, ne reçoivent plus de correctifs de sécurité). La vulnérabilité est corrigée dans Drupal 8.6.10 et 8.5.11 respectivement.

L'équipe de développement de Drupal insiste sur l'urgence absolue qu'il y a à appliquer ces correctifs. Si cela n'est pas possible dans l'immédiat, les administrateurs peuvent désactiver tous les modules de types Web Service ou peuvent configurer leur serveur Web afin qu'il ne permette pas les requêtes PUT/PATCH/POST vers les ressouces Web Services.

Quid de Drupal 7 ?

Drupal 7 n'a pas de module RESTful Web Services et il n'est donc pas vulnérable à la base. Mais il le devient si des modules tles que Services ou RESTful Web Services y ont été installés. Dans ce cas, il n'y a pas de mise à jour du coeur de Drupal 7 à faire, mais les modules tiers doivent être mis à jour immédiatement. (ou désactivés en attendant)