Une alerte de sécurité a été émise début décembre sur Drupal 10.x.x. Un bug dans CKEditor peut permettre de déplacer les fichiers webroot (dossier racine de la plateforme) vers une autre localisation pouvant provoquer une attaque de type déni de service ou injecter des fichiers non autorités et provoquer un crash du CMS. Cette vulnérabilité est due à une erreur handling dans Drupal Core.
Cette vulnérabilité concerne des configurations spécifiques de l’environnement Drupal avec la présence de plusieurs configurations. Le chargement d’images provoque alors le déplacement du dossier racine…
Solution : mettre à jour en version 10.2.10 minimum.
