{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Drupal versions 4.x ant\u00e9rieures \u00e0 4.7.11 ;","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"Drupal versions 5.x ant\u00e9rieures \u00e0 5.6.","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Drupal :\n\n-   une vuln\u00e9rabilit\u00e9 dans le module de traitement des flux RSS permet\n    de r\u00e9aliser une attaque de type cross-site request forgery\n    (SA-2008-005) ;\n-   l'utilisation de s\u00e9quences de caract\u00e8res consid\u00e9r\u00e9s comme invalides\n    par les sp\u00e9cifications de UTF8 permet de r\u00e9aliser une attaque de\n    type cross-site scripting (SA-2008-006) ;\n-   lorsque les fichiers de th\u00e8me (.tpl.php) ont des droits d'acc\u00e8s via\n    le Web et que la variable PHP register_globals est activ\u00e9e, il est\n    possible de r\u00e9aliser des attaques de type cross-site scripting\n    (SA-2008-007).\n\n## Contournement provisoire\n\nIl n'existe pas de correctif pour la vuln\u00e9rabilit\u00e9 d\u00e9crite dans l'avis\nDrupal SA-2008-007. L'\u00e9diteur recommande de d\u00e9sactiver la variable\nregister_globals et de ne pas positionner de droits d'acc\u00e8s via le Web\nsur les fichiers de th\u00e8me.\n\n## Solution\n\nMettre \u00e0 jour en version 4.7.11 ou 5.6. Se r\u00e9f\u00e9rer au bulletin de\ns\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section\nDocumentation).\n","cves":[],"links":[],"reference":"CERTA-2008-AVI-021","revisions":[{"description":"version initiale.","revision_date":"2008-01-15T00:00:00.000000"}],"risks":[{"description":"Injections de code indirectes (cross-site scripting et cross-site request forgery)"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s dans <span class=\"textit\">Drupal</span>\npermettent de r\u00e9aliser diverses injections de code indirectes.\n","title":"Vuln\u00e9rabilit\u00e9s dans Drupal","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-2008-007 du 10 janvier 2008","url":"http://drupal.org/node/208565"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-2008-005 du 10 janvier 2008","url":"http://drupal.org/node/208562"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-2008-006 du 10 janvier 2008","url":"http://drupal.org/node/208564"}]}