La semaine dernière, l’équipe Drupal a publié un total de 12 avis de sécurité pour des modules optionnels de développeurs externes. Vulnérabilités de sécurité dans les modules Sélection hiérarchique côté client, Commerce Core, Groupe de domaines, Extracteur de fichiers, SAML SP 2.0 SSO, Pièces jointes de l’API de recherche, Gestionnaire de taxonomie, Le meilleur méga-menu et Hachage de l’utilisateur permettre des attaques sur le système de gestion de contenu (CMS). Des mises à jour sont disponibles et doivent être effectuées rapidement.
Quatre de ces vulnérabilités ont été classées comme critiques. Dans certaines conditions, les attaquants pourraient en abuser pour accéder sans autorisation au contenu du CMS (Domain Group, The Better Mega Menu) ou même pour exécuter du code à distance (File Extractor, Search API attachments). Les autres vulnérabilités ont été classées « modérément critiques » et peuvent servir de points d’attaque pour le cross-site scripting, l’injection de code et le contournement des mécanismes d’authentification des CMS, entre autres.
Sommaire
Les avis en un coup d’œil
Vous trouverez de plus amples détails et des informations sur les mises à jour disponibles dans les avis :
- Sélection hiérarchique côté client
- Commerce Core
- Groupe de domaines
- Extracteur de fichiers
- SAML SP 2.0 SSO
- Pièces jointes de l’API de recherche
- Responsable de la taxonomie
- Le meilleur méga-menu ( 1 / 2 / 3 / 4)
- Hachage de l’utilisateur
Lire aussi
