L'équipe en charge de la sécurité du CMS avait prévenu qu'elle dévoilerait une brèche critique entre 19 h et 23 h hier soir. C'est désormais chose faite avec CVE-2019-6340 qui permet d'exécuter du code à distance.

Pour être exploitée sur un site, une des deux conditions suivantes doit être respectée : le module RESTful Web Services pour Drupal 8 est activé et accepte les requêtes PATCH/POST, ou bien il dispose d'un autre module de services web (JSON:API pour Drupal 8, Services or RESTful Web Services pour Drupal 7).

Si vous êtes sur Drupal 8, il faudra migrer vers les versions 8.5.11 ou 8.6.10 (les 8.4.x et plus anciennes ne sont plus supportées), tandis qu'aucune mise à jour du noyau n'est nécessaire pour Drupal 7. Il faudra cependant appliquer des patchs à des modules.