Le projet Drupal a lancé un patch pour corriger une vulnérabilité critique de détournement d'accès exposant les sites web exposés aux risques de piratage. Bien que n'ayant pas le niveau de sécurité le plus élevé du système d'évaluation des menaces de Drupal, cette dernière a été jugée suffisamment sérieuse par les développeurs du projet de CMS open source pour proposer sans tarder un correctif.
Une exploitation réussie de la vulnérabilité peut aboutir à une compromission complète de la confidentialité des données et de l'intégrité du site web. Tous les sites sous Drupal ne sont cependant pas concernés, la faille affecte certaines configurations tournant sous ce CMS. Sont vulnérables, les sites web ayant activé RESTful Web Services et autorisant les requêtes PATCH. De plus, l'attaquant a besoin d'enregistrer un nouveau compte sur le site web ou d'obtenir un accès sur un site existant indépendamment de ses privilèges.
Les sites sous Drupal 7.x pas affectés
Les sites tournant sur Drupal 7.x ne sont cependant pas affectés. Ceux tournant sous Drupal 8.x ont en revanche tout intérêt à migrer vers les versions 8.3.1 ou 8.3.2. « Bien que nous ne fournissions pas normalement des bulletins de sécurité pour les versions mineures non prises en charge, étant donné la gravité potentielle de ce problème, nous avons également fourni une version 8.2.x pour vous assurer que les sites qui n'ont pas eu l'occasion de mettre à jour vers 8.3.0 peuvent le faire en toute sécurité », a indiqué Drupal dans une alerte.
Drupal est le troisième système de gestion de contenu le plus populaire après Wordpress et Joomla. Il gère les sites web de nombreuses entreprises, agences gouvernementales, universités, agences de presse ainsi que d'autres organisations. Parmi eux, on trouve la Maison Blanche, le gouvernement français, la Mairie de Londres, la BBC et l'Université d'Oxford.