Un bogue Open Source menace les sites exécutant plusieurs CMS

Les sites Web exécutant les systèmes de gestion de contenu Drupal, Joomla ou Typo3 sont exposés aux attaques susceptibles d'exécuter du code malveillant jusqu'à ce que les administrateurs installent les correctifs récemment publiés, les développeurs et les chercheurs en sécurité avertis.

La vulnérabilité réside dans PharStreamWrapper, un composant PHP développé et à code source ouvert par le fabricant de CMS, Typo3. Indexée sous le nom CVE-2019-11831, la faille provient d'un bogue lié au chemin d'accès traversant un chemin d'accès permettant aux pirates informatiques de permuter une archive phar légitime d'un site contre une autre. Une archive phar est utilisée pour distribuer une application ou une bibliothèque PHP complète dans un seul fichier, de la même manière qu'un fichier d'archive Java regroupe de nombreux fichiers Java dans un seul fichier.

Dans un avis publié mercredi, les développeurs de Drupal ont estimé que la gravité de la vulnérabilité de leur système de gestion de contenu était modérément critique. C'est bien en dessous de la cote hautement critique d'une vulnérabilité récente de Drupal et de failles antérieures d'exécution à distance qui ont pris le nom de "Drupalgeddon". Néanmoins, la vulnérabilité représente un risque suffisamment important pour que les administrateurs le corrigent dès que possible.

"La nature de la vulnérabilité [pharStreemWarapper] le rend dépendant du contexte", a déclaré à Ars, le chercheur Daniel le Gall. "J'ai trouvé cette vulnérabilité sur Drupal, et c'est la seule plateforme où j'ai évalué la gravité. Je discute actuellement avec Drupal pour la rendre" critique "au lieu de" moyennement critique ", mais la décision finale est entre leurs mains."

Le Gall, le chercheur de SCRT SA en Suisse, a déclaré que ses propres calculs, calculés à l'aide de la méthode d'évaluation de la gravité publiée par Drupal, l'avaient conduit à décider que la vulnérabilité devait être considérée comme critique. Il a néanmoins convenu que CVE-2019-11831 était bien en dessous du seuil des précédents bogues Drupal, qui pourrait être exploité par des utilisateurs non privilégiés visitant un site vulnérable.

"Pour un [site] Drupal par défaut sans plug-ins, il faut que [le site] ait un utilisateur avec le droit" Administrer le thème ", ce qui est une condition préalable essentielle", a-t-il déclaré. Cela signifie qu'un attaquant devrait avoir des privilèges d'administrateur limités, tels que ceux accordés aux commerciaux ou aux graphistes.

"Cependant, certains modules communautaires pourraient être vulnérables en raison de cette faille dans le noyau de Drupal", a-t-il ajouté. "Une fois que ces privilèges sont obtenus, la faille est relativement facile à exploiter et conduit effectivement à l'exécution de code à distance."

Les développeurs de Joomla, quant à eux, ont publié mercredi leur propre avis qui évaluait la gravité au plus bas. Les développeurs de Typo3 n’ont pas fourni d’indice de gravité pour leur propre CMS.

Sites qui fonctionnent:

  • Drupal 8.7 devrait mettre à jour à 8.7.1
  • 8.6 ou une version antérieure devrait mettre à jour à 8.6.16
  • 7 devrait mettre à jour à 7.67

Sur Joomla, la vulnérabilité affecte les versions 3.9.3 à 3.9.5. Le correctif est disponible dans 3.9.6.

Les utilisateurs de Typo3 CMS doivent soit mettre à niveau manuellement vers les versions v3.1.1 et 2.1.1.1 de PharStreamWapper, soit s'assurer que les dépendances de Composer sont générées avec ces versions.