Plateforme
drupal
Composant
drupal
Corrigé dans
1.10.1
1.10.1
La vulnérabilité CVE-2026-24478 est une faille de traversal de chemin critique découverte dans l'application AnythingLLM, plus précisément dans son intégration avec DrupalWiki. Cette faille permet à un administrateur malveillant, ou à un attaquant capable de convaincre un administrateur de configurer une URL DrupalWiki malveillante, d'écrire des fichiers arbitraires sur le serveur. Les versions de Drupal Core affectées sont celles inférieures ou égales à 1.10.0. Une correction a été déployée dans la version 1.10.0.
L'exploitation réussie de cette vulnérabilité peut conduire à une exécution de code à distance (RCE) sur le serveur Drupal. Un attaquant pourrait potentiellement prendre le contrôle total du serveur en écrasant des fichiers de configuration critiques ou en y écrivant des scripts exécutables. Le risque est particulièrement élevé si le serveur Drupal héberge des données sensibles ou est utilisé pour des opérations critiques. Cette vulnérabilité pourrait être exploitée pour compromettre l'intégrité des données, voler des informations confidentielles, ou lancer d'autres attaques contre le réseau interne. Bien que l'exploitation nécessite l'implication d'un administrateur (directement ou via la manipulation), la sévérité de l'impact RCE justifie une attention immédiate.
Cette vulnérabilité a été rendue publique le 27 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour, mais la nature critique de la vulnérabilité (RCE) et la disponibilité de l'application AnythingLLM en font une cible potentielle. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant l'exploitation. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations using Drupal Core with the AnythingLLM application installed, particularly those with administrative users who may be susceptible to social engineering attacks or who may inadvertently configure malicious DrupalWiki URLs, are at risk. Shared hosting environments where multiple Drupal instances share the same server resources are also at increased risk.
• drupal: Check the installed version of the AnythingLLM module using drush pm:core-list or drush pm:modules.
• generic web: Monitor Drupal error logs for attempts to access files outside of the intended DrupalWiki directory.
• generic web: Use a WAF to block requests containing path traversal sequences (e.g., ../).
• linux / server: Monitor file system activity for unexpected file creations or modifications within the Drupal installation directory, particularly in areas related to configuration files. Use auditd to track file access attempts.
disclosure
Statut de l'Exploit
EPSS
0.22% (percentile 44%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Drupal Core vers la version 1.10.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement recommandé de désactiver temporairement l'intégration DrupalWiki si elle n'est pas essentielle. Si la désactivation n'est pas possible, restreindre l'accès à la configuration de DrupalWiki aux seuls administrateurs de confiance peut atténuer le risque. Surveiller les journaux d'accès et d'erreurs de Drupal pour détecter toute tentative d'écriture de fichiers non autorisée. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malveillantes ciblant cette vulnérabilité.
Actualice AnythingLLM a la versión 1.10.0 o posterior. Esta versión contiene la corrección para la vulnerabilidad de Path Traversal. Se recomienda realizar la actualización lo antes posible para evitar posibles ataques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24478 is a Remote Code Execution vulnerability in the AnythingLLM application for Drupal Core, allowing attackers to potentially execute arbitrary code on the server.
You are affected if you are using Drupal Core with the AnythingLLM application in a version prior to 1.10.0.
Upgrade the AnythingLLM application to version 1.10.0 or later to resolve the vulnerability. Restrict access to the DrupalWiki integration as a temporary workaround.
While no public exploits are currently known, the path traversal nature of the vulnerability suggests a potential for exploitation.
Refer to the official Drupal security advisory for CVE-2026-24478 on the Drupal website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.