Risque

Cross-Site Scripting

Systèmes affectés

  • Drupal version 4.6.8 et antérieures ;
  • Drupal version 4.7.2 et antérieures.

Résumé

Une vulnérabilité dans Drupal permet à un utilisateur distant de conduire une attaque de type cross-site scripting.

Description

Un manque de contrôle des paramètres passés au module user.module de Drupal permet à un utilisateur distant d'injecter indirectement du script ou du code HTML dans les pages visualisées par un utilisateur de l'application Drupal vulnérable.

Solution

Les versions 4.6.9 et 4.7.3 corrigent le problème :

http://www.drupal.org/node/76748

Documentation

Bulletin de sécurité drupal DRUPAL-SA-2006-011 du 2 août 2006 :

http://www.drupal.org/node/76748