Mise à jour critique de sécurité pour Drupal

Une vulnérabilité critique affectant le noyau de Drupal a été identifiée. En raison du risque élevé d’exploitation rapide dès la publication du correctif, une intervention immédiate des administrateurs est requise.

Points clés :

• Risque élevé : Les attaquants sont susceptibles de développer des exploits quelques heures seulement après la divulgation de la faille.
• Périmètre : La vulnérabilité concerne le cœur de Drupal à partir de la version 8. Toutes les configurations ne sont cependant pas impactées.
• Support étendu : Bien que Drupal 11.1.x et 10.4.x ne soient plus officiellement supportés, des correctifs exceptionnels seront fournis en raison de la sévérité de la menace.
• Fin de vie : Les versions Drupal 8 et 9 ont atteint leur fin de vie, mais des fichiers correctifs (hotfixes) seront mis à disposition pour les versions 9.5.11 et 8.9.20.
• Protection existante : Les sites utilisant Drupal Steward sont protégés contre les vecteurs d’attaque connus, bien qu’une mise à jour reste recommandée.

Vulnérabilités :

• Aucun identifiant CVE n’est disponible à ce stade.
• Détails techniques non divulgués : méfiez-vous des sources tierces prétendant détenir des informations techniques, car il pourrait s’agir de tentatives de fraude.

Recommandations :

• Planification : Les administrateurs doivent réserver un créneau d’intervention le 20 mai entre 17h00 et 21h00 UTC.
• Mise à jour : Installer les correctifs dès leur publication officielle sur le portail de sécurité de Drupal.
• Cibles de mise à jour :
  • Drupal 11.3.x, 11.2.x, 11.1.9
  • Drupal 10.6.x, 10.5.x, 10.4.9
  • Versions 9.5.11 et 8.9.20 (via fichiers hotfix)
• Veille : Surveiller exclusivement le site officiel de Drupal pour obtenir des informations fiables.

Source