{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Drupal versions 7.x ant\u00e9rieures \u00e0 7.11.","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"Drupal versions 6.x ant\u00e9rieures \u00e0 6.23 ;","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Drupal :\n\n-   OpenId ne v\u00e9rifie pas si certains attributs sont sign\u00e9s, ce qui\n    permet de modifier les informations des utilisateurs (CVE-2012-0825)\n    ;\n-   des injections de requ\u00eates ill\u00e9gitimes par rebond sont possibles via\n    le module Aggregator. Dans certains cas, l'exploitation de cette\n    vuln\u00e9rabilit\u00e9 permet de r\u00e9aliser un d\u00e9ni de service (CVE-2012-0826)\n    ;\n-   sous certaines conditions, des utilisateurs peuvent t\u00e9l\u00e9charger\n    ind\u00fbment des fichiers via le module File. Ce probl\u00e8me n'affecte que\n    les versions 7.x de Drupal (CVE-2012-0827).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2012-0825","url":"https://www.cve.org/CVERecord?id=CVE-2012-0825"},{"name":"CVE-2012-0826","url":"https://www.cve.org/CVERecord?id=CVE-2012-0826"},{"name":"CVE-2012-0827","url":"https://www.cve.org/CVERecord?id=CVE-2012-0827"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-CORE-2012-001 du 01 f\u00e9vrier    2012 :","url":"http://drupal.org/node/1425084"}],"reference":"CERTA-2012-AVI-052","revisions":[{"description":"version initiale.","revision_date":"2012-02-03T00:00:00.000000"}],"risks":[{"description":"Injection de requ\u00eates ill\u00e9gitimes par rebond (CSRF)"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s dans <span class=\"textit\">Drupal</span>\npermettent de contourner des restrictions d'acc\u00e8s \u00e0 des fichiers, de\nmodifier des informations d'utilisateur et d'injecter ill\u00e9gitimement des\nrequ\u00eates par rebond.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Drupal","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-CORE-2012-001 du 01 f\u00e9vrier 2012","url":null}]}