Nouvelle faille critique DRUPAL 8.6.x et 7.x référencée CVE-2019-6340

Technologie et développement

Le 20/02/2019, le site Drupal.org a annoncé une nouvelle faille critique sur les versions de Drupal 8.6.x et 7.x référencée CVE-2019-6340.

Il s'agit d'une faille RCE (remote code execution), celle-ci permet l’exécution de code sur le serveur cible.

Pour effectuer cette attaque, les conditions suivantes doivent être réunies :

  • Sur Drupal 8.6.X, le module RESTful doit être activé et le service web doit autoriser les requêtes PATCH ou POST. 
  • Sur Drupal 7, un module de service web doit être activé tel que "Services" ou le service RESTful.

Les préconisations sont de mettre a jour Drupal en version 8.6.10 et d'installer les mises à jour de sécurité pour les modules installés.

Aucune mise à jour n'est nécessaire pour Drupal Core 7, cependant les modules installés peuvent être vulnérables et devront être patchés rapidement.

Si vous êtes concernés, nous vous invitons à contacter votre T.M.A. afin d'organiser une mise à jour de votre C.M.S., puis à nous contacter par ticket ou via votre responsable de compte afin de planifer une intervention au plus tôt.

Pour en savoir plus : https://www.drupal.org/node/3034490.

Comme d'habitude, nos équipes sont prêtes à se mobiliser y compris en heures non ouvrées afin de vous assister si nécéssaire sur le déploiement des correctifs.