Risques
- Atteinte à l'intégrité des données
- Cross-site scripting
Systèmes affectés
- Drupal 4.6.9.
- Drupal 4.7.3 ;
Résumé
De multiples vulnérabilités sont présentes dans Drupal et permettent à un utilisateur distant d'altérer le contenu d'une page php ou de réaliser une attaque de type cross-site scripting.
Description
Trois vulnérabilités sont présentes dans Drupal :
- La première permet à un utilisateur distant de modifier la page de destination spécifiée dans un formulaire HTML afin, par exemple, de diriger la victime vers un site arbitraire ;
- la deuxième permet à un utilisateur distant, par le biais d'une page web construite de façon particulière, d'injecter une réponse dans un formulaire Drupal dans le contexte du navigateur d'un utilisateur consultant le site de l'attaquant ;
- la dernière vulnérabilité permet à un utilisateur distant de réaliser une attaque de type cross-site scripting via une vulnérabilité présente dans l'analyseur XML de Drupal.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal du 18 octobre 2006 : http://drupal.org/security/
- Bulletins de sécurité du port FreeBSD de Drupal du 18 octobre 2006 : http://www.vuxml.org/freebsd/pkg-drupal.html