Risque

Injection de commandes SQL.

Systèmes affectés

  • Drupal versions 4.7.x antérieures à 4.7.9 ;
  • Drupal versions 5.x antérieures à 5.4.

Résumé

Une vulnérabilité permettant l'injection de commandes SQL a été découverte dans Drupal.

Description

Une vulnérabilité a été découverte dans Drupal. Celle-ci permet l'injection de commandes SQL par l'intermédiaire de la fonction taxonomy_select_nodes(). Cette fonction est utilisée par quelques modules, comme taxonomy_module, ajaxLoader et ubrowser.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation