Drupal a annoncé une mise à jour de sécurité critique qui sera publiée aujourd’hui. Le projet avertit que des acteurs malveillants pourraient créer des outils d’exploitation quelques heures seulement après la publication des détails de la faille.
Les administrateurs doivent prévoir du temps pour appliquer cette mise à jour entre 17h00 et 21h00 UTC le 20 mai. Les gestionnaires de sites qui utilisent les versions 8 ou 9 doivent absolument migrer vers la version 10.6 ou une version plus récente.
Le système de gestion de contenu Drupal est très utilisé par les grandes organisations, ainsi que dans les secteurs gouvernemental, éducatif et de la santé.
Selon l’annonce publique, la vulnérabilité affecte les versions 8 et ultérieures du cœur de Drupal, mais l’avis précise que toutes les configurations ne sont pas concernées. Les correctifs de sécurité seront disponibles pour les versions suivantes :
- Drupal 11.3.x
- Drupal 11.2.x
- Drupal 11.1x
- Drupal 10.6.x
- Drupal 10.5.x
- Drupal 10.4x
Le projet indique que les versions 11.1x et 10.4x ne sont plus officiellement supportées, mais des corrections seront fournies pour elles car la faille est grave. Les administrateurs doivent alors passer aux versions Drupal 11.1.9 et 10.4.9.
Les versions 8 et 9 de Drupal, qui ont atteint leur fin de support, ne recevront pas de patchs officiels. Cependant, des fichiers de correction rapide seront publiés pour les versions 9.5 et 8.9, ce qui permet de sécuriser les sites qui tournent sur les versions 9.5.11 ou 8.9.20.
Les sites qui utilisent le service Drupal Steward sont déjà protégés contre les vecteurs d’attaque connus. Il est néanmoins recommandé d’appliquer la mise à jour.
Aucune information technique sur la vulnérabilité n’a été divulguée. Drupal précise que toute information qui pourrait apparaître en ligne à ce sujet pourrait être frauduleuse et chercher à tromper les administrateurs pour qu’ils prennent des actions risquées. Il faut donc être prudent.
« Ni l’équipe de sécurité ni aucune autre partie ne peut divulguer davantage d’informations sur cette vulnérabilité avant que l’annonce officielle soit faite », a déclaré Drupal.
Les administrateurs de sites Drupal doivent surveiller le portail de sécurité officiel de la plateforme tout au long de la journée pour obtenir plus d’informations. Ils doivent aussi se préparer à appliquer la mise à jour de sécurité dès qu’elle sera disponible.