{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Drupal versions 6.x ant\u00e9rieures \u00e0 6.4.","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"Drupal versions 5.x ant\u00e9rieures \u00e0 5.10 ;","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Drupal :\n\n-   plusieurs erreurs permettent de r\u00e9aliser des attaques de type\n    cross-site scripting et cross-site request forgery ;\n-   le module blogAPI ne valide pas correctement l'extension des\n    fichiers d\u00e9pos\u00e9s ce qui permet \u00e0 des utilisateurs disposant de\n    droits sp\u00e9cifiques de d\u00e9poser des fichiers dangereux ;\n-   le module Upload dans Drupal 6 contient une vuln\u00e9rabilit\u00e9 permettant\n    l'\u00e9l\u00e9vation de privil\u00e8ges pour certains utilisateurs disposant de\n    droits sp\u00e9cifiques. Ceci permet notamment de modifier du contenu.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[],"reference":"CERTA-2008-AVI-418","revisions":[{"description":"version initiale.","revision_date":"2008-08-14T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s dans <span class=\"textit\">Drupal</span>\npermettent de modifier le contenu, de r\u00e9aliser des injections de code\nindirectes et de d\u00e9poser des fichiers.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Drupal","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-2008-047 du 13 ao\u00fbt 2008","url":"http://drupal.org/node/295053"}]}