Avis du CERT-FR

Objet: Vulnérabilité de Drupal

Gestion du document

Référence	CERTA-2007-AVI-061
Titre	Vulnérabilité de Drupal
Date de la première version	31 janvier 2007
Date de la dernière version	31 janvier 2007
Source(s)	Bulletin DRUPAL-SA-2007-005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Drupal, version 4.7.x et 5.x

Résumé

Une vulnérabilité dans le gestionnaire de contenu Drupal permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Drupal est un logiciel libre de gestion de contenu.

Une erreur dans la prévisualisation des commentaires permet à un utilisateur autorisé à poster des commentaires et ayant accès à plusieurs filtres d'entrées d'exécuter du code arbitraire à distance.

Contournement provisoire

Désactiver le module de gestion des commentaires ;
ôter le droit de poster aux utilisateurs ou limiter l'accès à un seul filtre d'entrée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Drupal DRUPAL-SA-2007-005 du 29 janvier 2007 :
```
http://drupal.org/node/113935
```

Gestion détaillée du document

le 31 janvier 2007: version initiale.