Drupal a publié des mises à jour logicielles pour corriger quatre vulnérabilités dans le noyau de Drupal et trois plugins qui pourraient permettre à des tiers d'accéder à des données.

Actuellement, le module Media Library n'effectue pas suffisamment de vérifications sur l'accès aux entités, ce qui pourrait permettre aux utilisateurs qui peuvent modifier le contenu de lire les métadonnées sur les ressources média auxquelles ils ne devraient pas avoir accès. Ceci est la cause principale du problème du noyau de Drupal.

Un problème identique affecte le plugin Media Library Form API Element, qui prend en charge l'utilisation de la médiathèque dans les formulaires personnalisés, sans avoir à utiliser le widget de la médiathèque.

Selon Drupal, les deux failles sont "atténuées par le fait que les médias inaccessibles ne seront exposés qu'aux utilisateurs qui peuvent déjà modifier le contenu qui comprend un champ de référence aux médias".

La troisième vulnérabilité, qui affecte le plugin Media Library Block, qui permet le rendu des entités média dans un bloc, a été corrigée. Sa cause fondamentale est identique aux deux premières : dans certains cas, la vérification de l'accès aux médias est erronée.

Si un bloc contenant des médias à accès restreint est placé sur une page, la vulnérabilité pourrait permettre à des personnes de visualiser des éléments multimédias sans y être autorisées. Les administrateurs peuvent supprimer les blocs faisant référence à des éléments multimédias à accès restreint pour corriger le bogue.

Le plugin Entity Browser, qui permet aux utilisateurs de "sélectionner des entités à partir des champs de référence des entités à l'aide d'un widget de navigateur personnalisé", contient la quatrième vulnérabilité.

Les problèmes ont été corrigés lors de la publication des versions 10.0.2, 9.5.2 et 9.4.10 de Drupal, de la version 2.0.6 de Media Library Form API Element, de la version 1.0.4 de Media Library Block et de la version 8.x-2.9 d'Entity Browser.

Ces vulnérabilités ont été classées comme "modérément critiques" par Drupal, ce qui correspond approximativement à une "gravité moyenne".