Il s'agit d'une faille RCE (remote code execution), celle-ci permet l’exécution de code sur le serveur cible.
Pour effectuer cette attaque, les conditions suivantes doivent être réunies :
- Sur Drupal 8.6.X, le module RESTful doit être activé et le service web doit autoriser les requêtes PATCH ou POST.
- Sur Drupal 7, un module de service web doit être activé tel que "Services" ou le service RESTful.
Les préconisations sont de mettre a jour Drupal en version 8.6.10 et d'installer les mises à jour de sécurité pour les modules installés.
Aucune mise à jour n'est nécessaire pour Drupal Core 7, cependant les modules installés peuvent être vulnérables et devront être patchés rapidement.
Si vous êtes concernés, nous vous invitons à contacter votre T.M.A. afin d'organiser une mise à jour de votre C.M.S., puis à nous contacter par ticket ou via votre responsable de compte afin de planifer une intervention au plus tôt.
Pour en savoir plus : https://www.drupal.org/node/3034490.
Comme d'habitude, nos équipes sont prêtes à se mobiliser y compris en heures non ouvrées afin de vous assister si nécéssaire sur le déploiement des correctifs.