S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 11 juillet 2008
No CERTA-2008-AVI-365 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Drupal
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-365 |
| Titre |
Multiples
vulnérabilités dans Drupal |
| Date de la première
version |
11 juillet 2008 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité DRUPAL-SA-2008-044 du 09
juillet 2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- injection de code indirecte ;
- injection SQL.
- Drupal versions 5.x
antérieures à 5.8 ;
- Drupal versions 6.x
antérieures à 6.3.
De multiples vulnérabilités dans Drupal permettent de réaliser diverses
injections de code et d'obtenir un accès non
autorisé.
De multiples vulnérabilités ont
été découvertes dans Drupal :
- plusieurs attaques de type cross-site scripting sont possibles dans
Drupal versions 6.x ;
- des attaques de type cross-site
request forgery ce qui peut entraîner
l'effacement de certains éléments dans Drupal versions 5.x et 6.x ;
- en incitant sa victime à suivre un lien
spécifiquement constitué, une personne
malintentionnée peut obtenir un accès non
autorisé à Drupal
versions 5.x et 6.x ;
- des injections SQL sont possibles dans Drupal versions 6.x.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 11 juillet 2008
- version initiale.
CERTA
2012-01-04
|
)
