L'équipe de sécurité de Drupal a publié un avis "modérément critique" pour attirer l'attention sur de graves vulnérabilités dans une bibliothèque tierce et avertir qu’elles peuvent être exploitées pour détourner à distance des sites Web alimentés par Drupal.

Les vulnérabilités, identifiées comme CVE-2022-31042 et CVE-2022-31043, ont été découvertes et corrigées dans Guzzle, une bibliothèque tierce que Drupal utilise pour gérer les requêtes HTTP et les réponses aux services externes.

"Nous publions cet avis de sécurité en dehors de notre calendrier habituel de publication des avis de sécurité, car Guzzle a déjà publié des informations sur les vulnérabilités, et des vulnérabilités pourraient exister dans les modules contribués ou les modules personnalisés qui utilisent Guzzle pour les demandes sortantes", ajoute-t-il.

Guzzle a classé ces vulnérabilités comme étant à haut risque et Drupal prévient que les bugs peuvent affecter certains projets contribués ou du code personnalisé sur les sites Drupal.

"L'exploitation de cette vulnérabilité pourrait permettre à un attaquant distant de prendre le contrôle d'un site web affecté", avertit l'équipe.

Guzzle a publié des avis indépendants documentant les bogues comme un défaut de dépouillement de l'en-tête Cookie lors d'un changement d'hôte ou d'un déclassement HTTP et un défaut de dépouillement de l'en-tête Authorization lors d'un déclassement HTTP.

Il est recommandé aux utilisateurs d'installer les dernières versions (Drupal 9.2 à Drupal 9.4). Il est important de noter que toutes les versions de Drupal 9 antérieures à 9.2.x sont en fin de vie et ne bénéficient pas d'une couverture de sécurité.