Une autre faille critique trouvée dans Drupal Core-Patch vos sites immédiatement

Il est temps de mettre à jour vos sites web Drupal, encore une fois.

Pour la deuxième fois en un mois , Drupal a été jugé vulnérable à une autre vulnérabilité critique qui pourrait permettre à des attaquants distants de déclencher des attaques avancées, y compris le vol de cookies, le keylogging, le phishing et le vol d’identité.
Découvert par l’équipe de sécurité Drupal, le framework de gestion de contenu open source est vulnérable à la vulnérabilité XSS (cross-site scripting) qui réside dans un plugin tiers CKEditor pré-intégré dans Drupal pour aider les administrateurs de site et les utilisateurs à créer du contenu interactif .
CKEditor est un éditeur de texte riche WYSIWYG basé sur JavaScript qui est utilisé par de nombreux sites Web, ainsi que pré-installé avec quelques projets Web populaires.
Selon un avis de sécurité publié par CKEditor, la vulnérabilité XSS provient de la validation incorrecte de la balise " img " dans le plugin Enhanced Image pour CKEditor 4.5.11 et versions ultérieures.

Cela pourrait permettre à un attaquant d’exécuter du code HTML et JavaScript arbitraire dans le navigateur de la victime et d’accéder à des informations sensibles.
Enhanced Image plugin a été introduit dans CKEditor 4.3 et prend en charge une manière avancée d’insérer des images dans le contenu en utilisant un éditeur.
"La vulnérabilité provenait du fait qu’il était possible d’exécuter XSS à l’intérieur de CKEditor en utilisant le plugin image2 (également utilisé par Drupal 8)", a déclaré l’ équipe de sécurité de Drupal .
CKEditor a corrigé la vulnérabilité avec la version de CKEditor version 4.9.2, qui a également été corrigée dans le CMS par l’équipe de sécurité de Drupal avec la sortie de Drupal version 8.5.2 et Drupal 8.4.7.
Puisque le plugin CKEditor dans Drupal 7.x est configuré pour charger à partir des serveurs CDN, il n’est pas affecté par la faille.
Cependant, si vous avez installé le plugin CKEditor manuellement, il est conseillé de télécharger et de mettre à niveau votre plugin vers la dernière version depuis son site officiel.
Drupal a récemment corrigé une autre vulnérabilité critique, surnommé Drupalgeddon2 , un bug d’exécution de code à distance qui permet à un attaquant distant non authentifié, d’exécuter du code malveillant sur les installations par défaut ou Drupal commun sous les privilèges de l’utilisateur, ce qui affecte toutes les versions de Drupal de 6 à 8.
Cependant , en raison de la paresse des gens de patcher leurs systèmes et sites Web en temps opportun, la vulnérabilité Drupalgeddon2 a été trouvé exploitant dans la nature par des pirates informatiques pourlivrer des mineurs crypto-monnaie , des portes dérobées et d’autres logiciels malveillants.
Par conséquent, il est fortement recommandé aux utilisateurs de toujours prendre au sérieux les avis de sécurité et de garder leurs systèmes et logiciels à jour afin d’éviter d’être victimes d’une cyberattaque.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image