Plateforme
drupal
Composant
drupal
Corrigé dans
8.0.1
8.7.5
CVE-2019-6342 describes an access bypass vulnerability discovered in Drupal Core. This flaw allows attackers to circumvent access controls, potentially gaining unauthorized access to sensitive data and functionality. The vulnerability affects Drupal Core versions up to 8.7.4 and can be mitigated by disabling the experimental Workspaces module. A patch is available in version 8.7.5.
La vulnérabilité CVE-2019-6342 dans Drupal Core affecte uniquement Drupal 8.7.4 lorsque le module expérimental Workspaces est activé. Il s'agit d'une grave vulnérabilité de contournement d'accès, ce qui signifie qu'un attaquant pourrait potentiellement contourner les restrictions d'accès et effectuer des actions non autorisées au sein du site Drupal. Le score CVSS est de 9,8, ce qui indique un risque critique. Cette vulnérabilité découle d'un défaut dans la façon dont le module Workspaces gère les requêtes d'accès, permettant à un attaquant d'accéder à du contenu ou à des fonctionnalités auxquels il n'aurait normalement pas la permission. Une exploitation réussie pourrait entraîner la modification de données, l'exécution de code arbitraire ou la prise de contrôle totale du site.
La vulnérabilité est exploitée par le biais de requêtes HTTP soigneusement élaborées qui exploitent la manière dont le module Workspaces valide les requêtes d'accès. Un attaquant pourrait manipuler les paramètres de la requête pour contourner les vérifications d'autorisation et accéder à des ressources protégées. L'exploit spécifique n'a pas été largement divulgué afin d'éviter tout mauvais usage, mais la nature de la vulnérabilité suggère qu'il pourrait être relativement facile à exploiter une fois la logique interne du module Workspaces comprise. L'insuffisance de validation des requêtes d'accès est la cause première de cette vulnérabilité.
Organizations and individuals running Drupal Core versions 8.7.4 or earlier, particularly those utilizing the Workspaces module, are at significant risk. Sites with sensitive data or critical functionality are especially vulnerable. Shared hosting environments running vulnerable Drupal instances pose a risk to multiple tenants.
• drupal: Check Drupal core version using drush --version. If the version is <= 8.7.4, the system is vulnerable.
• drupal: Verify the Workspaces module is enabled using drush pm:list. If enabled, consider disabling it as a temporary mitigation.
• generic web: Monitor Drupal logs (typically in /var/log/apache2/error.log or similar) for unusual access patterns or attempts to access restricted resources.
disclosure
Statut de l'Exploit
EPSS
0.20% (percentile 42%)
Vecteur CVSS
L'atténuation la plus simple et la plus efficace de cette vulnérabilité est de désactiver le module Workspaces. Si vous n'avez pas besoin de la fonctionnalité Workspaces, c'est la solution recommandée. Si vous avez besoin de Workspaces, mettez à niveau vers Drupal 8.7.5 ou une version ultérieure immédiatement, qui inclut la correction de cette vulnérabilité. La mise à niveau doit être effectuée dans un environnement de test avant de l'appliquer à un environnement de production afin d'éviter d'éventuels problèmes de compatibilité. Il est essentiel d'appliquer cette mise à niveau dès que possible pour protéger votre site Drupal contre d'éventuelles attaques. De plus, examinez les autorisations des utilisateurs et les configurations d'accès pour vous assurer que les meilleures pratiques de sécurité sont suivies.
Desactive el módulo Workspaces. Este problema solo afecta a la versión 8.7.4 de Drupal.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Workspaces est un module expérimental dans Drupal 8 qui permet aux utilisateurs de créer des espaces de travail isolés pour différents projets ou équipes au sein du même site Drupal.
Non, elle n'affecte que Drupal 8.7.4 lorsque le module Workspaces est activé.
Mettez à niveau vers Drupal 8.7.5 ou une version ultérieure dès que possible.
La mise à niveau vers la version corrigée est la meilleure option. La désactivation de Workspaces est une solution temporaire si vous ne pouvez pas mettre à niveau immédiatement.
Vous pouvez trouver plus d'informations sur le site Web de Drupal et dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.