Synthèse
Les mises à jour de sécurité corrigent plusieurs vulnérabilités dans Drupal. De telles vulnérabilités, si elles sont exploitées, pourraient permettre à un attaquant d’exécuter du code à distance et/ou de contourner les mécanismes de sécurité sur les systèmes cibles.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (66,66/100)1.
Typologie
- Arbitrary Code Execution
- Security Restrictions Bypass
Produits et versions concernés
Drupal core
- versions de 8.8.0 à 10.2.11
- versions de 10.3.0 à 10.3.9
- versions de 11.0.0 à 11.0.8
Mesures d’atténuation
Conformément aux déclarations de l’éditeur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité disponible dans la section Références.
Veuillez noter que pour toutes les versions de Drupal 8, Drupal 9 et Drupal 10 antérieures à 10.2, le fournisseur ne publiera aucune solution de contournement et/ou correctif compte tenu de la date de fin de support (EOL).
Références
https://www.drupal.org/sa-core-2024-003
https://www.drupal.org/sa-core-2024-004
https://www.drupal.org/sa-core-2024-005
https://www.drupal.org/sa-core-2024-007
https://www.drupal.org/sa-core-2024-008
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.