Une nouvelle vulnérabilité a été découverte, CVE-2018-14773, qui affecte Drupal, le populaire système de gestion de contenu open source. Plus précisement, la vulnérabilité réside dans un composant d'une bibliothèque tiers appelé composant Symfony Http Foundation. La composante fait partie de Drupal de base, avec Drupal versions 8.x affectées avant la version 8.5.6.
Description de CVE-2018-14773
Le soutien à une (héritage) tête IIS qui permet aux utilisateurs de modifier le chemin dans l'URL de demande via le X-Original URL ou X-Rewrite-URL tête de requête HTTP permet à un utilisateur d'accéder à une URL, mais ont Symfony retourner un différent qui peut contourner les restrictions sur les caches de niveau supérieur et les serveurs Web.
Il convient également de noter que, depuis Symfony, le cadre d'applications Web avec un ensemble de composants PHP, est utilisé par un grand nombre de projets, le défaut pourrait mettre de nombreuses applications Web à risque de piratage. Les attaquants distants pourraient exploiter la faille par un « X-Original URL spécialement conçue’ ou « X-Rewrite-URL’ valeur d'en-tête HTTP, qui remplace le chemin dans l'URL de demande et pourrait contourner les restrictions d'accès. Par conséquent, le système cible pourrait rendre une URL différente.
Heureusement, CVE-2018-14773 a été corrigé dans la version Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, et 4.1.3. Drupal a également corrigé la faille dans sa dernière version Drupal 8.5.6.
CVE-2018-14773 Аlso Trouvé dans dans le Zend Framework
La même vulnérabilité existe aussi dans le flux Zend et bibliothèques Diactoros inclus dans le noyau Drupal, des chercheurs averti. S'il vous plaît noter que le noyau Drupal n'utilise pas la fonctionnalité vulnérables. Cependant, si un site ou un module utilise Feed Zend ou Diactoros directement, l'administrateur du site doit se référer à la sécurité Zend Framework consultatif.
Drupal a récemment été critiqué en raison d'un certain nombre de questions de sécurité critiques que les chercheurs surnommés Drupalgeddon.
En Avril, un autre bug d'exécution de code à distance Drupalgeddon a été découverte dans le système de gestion de contenu. Identifié comme CVE-2018-7602, la vulnérabilité très critique affecté les versions 7.x et 8.x Drupal. Le bogue a été activement exploitée dans la nature.