Risques

  • Atteinte à l'intégrité des données
  • Cross-site scripting

Systèmes affectés

  • Drupal 4.6.9.
  • Drupal 4.7.3 ;

Résumé

De multiples vulnérabilités sont présentes dans Drupal et permettent à un utilisateur distant d'altérer le contenu d'une page php ou de réaliser une attaque de type cross-site scripting.

Description

Trois vulnérabilités sont présentes dans Drupal :

  • La première permet à un utilisateur distant de modifier la page de destination spécifiée dans un formulaire HTML afin, par exemple, de diriger la victime vers un site arbitraire ;
  • la deuxième permet à un utilisateur distant, par le biais d'une page web construite de façon particulière, d'injecter une réponse dans un formulaire Drupal dans le contexte du navigateur d'un utilisateur consultant le site de l'attaquant ;
  • la dernière vulnérabilité permet à un utilisateur distant de réaliser une attaque de type cross-site scripting via une vulnérabilité présente dans l'analyseur XML de Drupal.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation