Le système CMS Drupal populaire a été trouvé pour contenir une vulnérabilité de sécurité très critique qui affecte les versions Drupal 7 et 8. Le défaut a été donné l'identificateur de CVE-2018-7600.
Les développeurs Drupal demandent instamment aux administrateurs de patcher leurs sites Web le plus rapidement possible que les sites sont non patchés à haut risque d'exécution de code à distance. Plus d'un million de sites Web peuvent être affectés par le défaut si les admins les laissent vulnérables.
CVE-2018-7600 doit être connecté immédiatement
Voici la description officielle de CVE-2018-7600:
Une vulnérabilité d'exécution de code à distance existe dans plusieurs sous-systèmes de Drupal 7.x et 8.x. Cela permet potentiellement des attaquants d'exploiter plusieurs vecteurs d'attaque sur un site Drupal, ce qui pourrait entraîner le site étant complètement compromis.
La vulnérabilité est considéré comme très critique, et pourrait causer des dommages graves à un site Web. Un site vulnérable peut être piraté via l'exécution de code à distance en raison d'une validation d'entrée manquante.
La semaine dernière, Drupal a commencé à informer les utilisateurs qu'une version très critique va être publié dans les prochains jours, exhortant admins patcher immédiatement. Cette annonce semble plutôt inhabituel pour la plate-forme CMS, et les développeurs ont été laissés très préoccupés.
Si vous utilisez 7.x, mise à niveau vers Drupal 7.58, et si vous exécutez 8.5.x, mise à niveau vers Drupal 8.5.1, Drupal a déclaré dans leur conseil.