{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"la version 4.7.0 de Drupal.","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"La version 4.6.6 de Drupal et les versions ant\u00e9rieures ;","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nDrupal est un environnement pour g\u00e9rer les contenus de sites Internet.\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans les versions 4.6.X et 4.7.0\n:\n\n-   La premi\u00e8re concerne les droits manquants au r\u00e9pertoire files. Un\n    utilisateur malveillant peut donc lire ou \u00e9crire certains fichiers\n    (voire m\u00eame les ex\u00e9cuter s'il peut les t\u00e9l\u00e9charger au pr\u00e9alable sur\n    le site vuln\u00e9rable).\n-   La seconde repose sur un mauvais contr\u00f4le de param\u00e8tres int\u00e9gr\u00e9s\n    dans des requ\u00eates SQL. Il est alors possible pour un utilisateur\n    malveillant d'injecter du code SQL arbitraire dans la base de\n    donn\u00e9es.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Mise \u00e0 jour du projet Drupal :","url":"http://drupal.org/project"},{"title":"Bulletin de s\u00e9curit\u00e9 DRUPAL-SA-2006-005 du 18 mai 2006 :","url":"http://drupal.org/node/65357"},{"title":"Bulletin de s\u00e9curit\u00e9 DRUPAL-SA-2006-006 du 24 mai 2006 :","url":"http://drupal.org/node/65409"}],"reference":"CERTA-2006-AVI-219","revisions":[{"description":"version initiale.","revision_date":"2006-05-26T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":null,"title":"Vuln\u00e9rabilit\u00e9s dans Drupal","vendor_advisories":[{"published_at":null,"title":"Bulletin de mise \u00e0 jour du projet Drupal du 18 mai 2006","url":null}]}