Le 16 janvier a été publiée une mise à jour critique de Drupal corrigeant une faille de sécurité majeure ayant un niveau de risque de 16/25.
Description
La vulnérabilité détectée concerne l’exécution de code à distance dans le wrapper de flux Phar intégré à PHP lors de l’exécution d’opérations de fichier sur un phar://URI non approuvé.
Ainsi certains codes Drupal (cœur, contribution et custom) peuvent effectuer des opérations de fichier sur une entrée utilisateur insuffisamment validée, exposés à cette vulnérabilité.
Préconisations
Il est impératif de corriger cette faille de sécurité, pour cela :
- Pour Drupal 8.6.x, mettre à jour vers la version Drupal 8.6.6.
- Pour Drupal 8.5.x ou précédentes de Drupal 8, mettre à jour vers Drupal 8.5.9.
- Pour Drupal 7.x, mettre à jour vers Drupal 7.62.
Attention, ce correctif peut engendrer des erreurs fatales sur certaines installations Drush lorsque la mise à jour est effectuée via Drush. Les nouvelles versions Drupal 8.6.7, 8.5.10 et 7.63 ont été publiées pour remédier à ce problème.
Vous avez des besoins de création de sites avec le CMS Drupal, de support et maintenance, alors n’hésitez pas :
