
Drupal a indiqué qu’un site en est affecté si trois conditions sont réunies :
- le site Web a le module Web RESTful (rest) activé ;
- le site autorise les demandes PATCH ;
- un attaquant est en mesure d'enregistrer un nouveau compte sur le site ou d'accéder à un système existant, indépendamment de ses privilèges.
La branche Drupal 7.x n'est pas affectée et les utilisateurs de Drupal 8 sont invités à effectuer une mise à jour vers les versions 8.3.1 ou 8.2.8 nouvellement publiées. Même si la vulnérabilité n'a pas le niveau de gravité le plus élevé basé sur le système de notation de Drupal, elle est suffisamment sévère pour que les développeurs de la plateforme décident de publier également un correctif pour une version du système de gestion de contenu qui n'est plus officiellement supporté.
En effet, le CMS a déclaré que : « Bien que nous ne fournissions normalement pas de correctif de sécurité pour les versions mineures non prises en charge, étant donné la gravité potentielle de ce problème, nous avons également fourni une version 8.2.x pour nous assurer que les sites qui n'ont pas eu l’opportunité de se mettre à jour vers la version 8.3.0 puissent le faire en toute sécurité ».
Drupal est le troisième système de gestion de contenu le plus populaire après Wordpress et Joomla. Il gère les sites Web de nombreuses entreprises, agences gouvernementales, universités, agences de presse et autres organisations. Parmi ses utilisateurs figurent la Maison-Blanche, le Gouvernement français, la Mairie de Londres, la BBC et l'Université d'Oxford.
Source : Drupal
Voir aussi :

