Le projet Drupal répertorie sur son site web de nombreuses extensions permettant aux administrateurs de sites web d’améliorer le CMS. Le projet a désormais placé plusieurs de ces extensions dans le statut « non supporté », car leurs développeurs n’ont pas réagi aux notifications de failles de sécurité et ne les ont donc pas corrigées. Les créateurs de Drupal considèrent le risque comme critique, raison pour laquelle les utilisateurs devraient désinstaller les extensions concernées.

De nombreuses extensions sans support

La liste sur le site contrib de Drupal comprend actuellement 16 extensions truffées de failles de sécurité, dans lesquelles personne n’a encore corrigé ces vulnérabilités.

Il s’agit concrètement des extensions suivantes :

• Imprimante, email et versions PDF,
• Image Media Export Import,
• Enveloppeur de flux distant,
• Vendor Stream Wrapper,
• Cog,
• Entité média Flickr,
• Vocabulaire Permissions Par Rôle,
• Exif,
• Business Responsive Theme,
• Intégration de Swiftype,
• Taux,
• Expire le lien de réinitialisation du mot de passe,
• Recherche de la barre d’outils d’administration,
• Boîte de couleur,
• Taxonomy Access Control Lite,
• Empêche les utilisateurs anonymes d’accéder aux pages Drupal.

Les personnes intéressées peuvent prendre en charge le suivi et le développement d’une extension. Dans un article, les développeurs de Drupal expliquent comment les programmeurs doivent procéder pour cela. Ils doivent en outre remplir certaines conditions. En règle générale, ils doivent notamment avoir corrigé une faille dans les 30 jours suivant son annonce.

Tant que les extensions Drupal susmentionnées n’ont pas de nouveau responsable, elles doivent être désinstallées au plus vite. Dans le cas contraire, des attaquants pourraient éventuellement exploiter les failles qu’elles contiennent pour s’introduire dans des instances Drupal vulnérables.