{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Drupal versions ant\u00e9rieures \u00e0 la version 6.7.","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"Drupal versions ant\u00e9rieures \u00e0 la version 5.13 ;","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Drupal :\n\n- la premi\u00e8re vuln\u00e9rabilit\u00e9 r\u00e9sulte d'un mauvais traitement de\n certaines requ\u00eates HTML. L'exploitation de cette vuln\u00e9rabilit\u00e9\n permet de r\u00e9aliser des attaques par injection de requ\u00eates\n ill\u00e9gitimes par rebond (Cross Site Request Forgery ou CSRF) ;\n- la seconde vuln\u00e9rabilit\u00e9 est due \u00e0 la pr\u00e9sence de fichiers r\u00e9siduels\n pouvant \u00eatre utilis\u00e9s par un attaquant distant.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de mise \u00e0 jour Drupal num\u00e9ro SA-2008-073 du 10 d\u00e9cembre 2008 :","url":"http://drupal.org/node/345441"}],"reference":"CERTA-2008-AVI-596","revisions":[{"description":"version initiale.","revision_date":"2008-12-11T00:00:00.000000"}],"risks":[{"description":"Injection de requ\u00eates ill\u00e9gitimes par rebond (CSRF)"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Drupal. Ces vuln\u00e9rabilit\u00e9s\npeuvent \u00eatre exploit\u00e9es afin de r\u00e9aliser des attaques par injection de\nrequ\u00eates ill\u00e9gitimes par rebond (CSRF).\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Drupal","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 num\u00e9ro SA-2008-073 du 10 d\u00e9cembre 2008","url":null}]}