S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 septembre 2006
N° CERTA-2006-AVI-402
Affaire suivie par: CERT-FR
le 21 septembre 2006

Avis du CERT-FR

Objet: Vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2006-AVI-402
Titre Vulnérabilités dans Drupal
Date de la première version 21 septembre 2006
Date de la dernière version 21 septembre 2006
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • Drupal version 4.7 avec le module Search Keywords versions 1.15 et précédentes ;
  • Drupal version 4.6 avec le module Site Profile Directory versions 1.1.2.1 et précédentes ;
  • Drupal version 4.7 avec le module Site Profile Directory versions 1.2.2.1 et précédentes ;
  • Drupal version 4.7 avec le module Userreview versions 1.19 et précédentes.

Résumé

Drupal est un gestionnaire de contenu (CMS) écrit en PHP. Des vulnérabilités ont été découvertes dans les modules :

  • Search Keywords ;
  • Site Profile Directory ;
  • Userreview;
permettant de conduire des attaques de type Cross site scripting.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 septembre 2006
    version initiale.