Risque
- Non spécifié par l'éditeur
Systèmes affectés
- Drupal 9.1.x versions antérieures à 9.1.3
- Drupal 9.x versions antérieures à 9.0.11
- Drupal 8.9.x versions antérieures à 8.9.13
- Drupal 7.x versions antérieures à 7.78
L'éditeur ne maintient plus les versions 8 antérieures à 8.9.x. Les utilisateurs d'une version obsolète doivent préalablement mettre à jour Drupal pour bénéficier des correctifs de sécurité.
Résumé
Une vulnérabilité a été découverte dans Drupal Core. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
L'éditeur propose comme mesure de contournement pour ces vulnérabilités de limiter aux utilisateurs de confiance le téléchargement des fichiers .tar, .tar.gz, .bz2 et .tlz.
Documentation
- Bulletin de sécurité Drupal Core sa-core-2021-001 du 20 janvier 2021 https://www.drupal.org/sa-core-2021-001
- Référence CVE CVE-2020-36193 https://www.cve.org/CVERecord?id=CVE-2020-36193