Les développeurs de Drupal ont annoncé la publication de mises à jour qui corrigent plusieurs vulnérabilités dans le système de gestion de contenu (CMS) open source.

Drupal a publié quatre avis qui décrivent quatre types de vulnérabilités. L'une d'entre elles a été classée "critique" et les trois autres "modérément critiques ».

La vulnérabilité "critique", répertoriée sous le nom de CVE-2022-25277, affecte Drupal 9.3 et 9.4. Le problème a un impact sur le noyau de Drupal et peut conduire à une exécution arbitraire de code PHP sur les serveurs web Apache en téléchargeant des fichiers spécialement conçus.

Les développeurs de Drupal ont souligné que seuls les serveurs web Apache sont touchés et uniquement avec des configurations spécifiques. Ils ont conseillé aux administrateurs de sites web de vérifier leur serveur pour détecter d'éventuels signes de compromission.

Les trois failles de sécurité "modérément critiques" ont également un impact sur le noyau de Drupal. Leur exploitation peut conduire à des attaques de type XSS (cross-site scripting), à la divulgation d'informations ou au contournement d'accès.

Des correctifs pour ces vulnérabilités sont inclus dans Drupal 9.4.3 et 9.3.19. La faille de divulgation d'informations affecte également Drupal 7 et un correctif a été inclus dans la version 7.91.