Plusieurs vulnérabilités ont été identifiées dans Drupal, elles pourraient être exploitées afin de conduire des attaques par cross site scripting ou afin de contourner les mesures de sécurité.
Le premier problème résulte d'erreurs présentes aux niveaux des modules "XML", "aggregator", "profile" et "forum", ce qui pourrait être exploité afin d'injecter un code HTML/Javascript malicieux coté client.
La seconde faille se situe aux niveaux de plusieurs scripts qui ne valident pas correctement certaines requetes HTTP GET ou POST, ce qui pourrait être exploité par des utilisateurs malveillants afin de conduire des attaques par cross site request forgery.
La troisième vulnérabilité se situe au niveau de la fonction "filter_xss_bad_protocol()" qui ne filtre pas correctement certaines données, ce qui pourrait être exploité par des attaquants afin de redirigier les formulaires soumis par un utilisateur vers un site malicieux.
Pour réparer ces vulnérabilités, mettez votre site à jour vers la version 4.7.4 ou 4.6.10.
Source : http://www.frsirt.com/bulletins/7479 (20/10/2006)
Poster un nouveau commentaire