Risque
- Contournement de la politique de sécurité ;
- injection de code indirecte ;
- injection SQL.
Systèmes affectés
- Drupal versions 5.x antérieures à 5.8 ;
- Drupal versions 6.x antérieures à 6.3.
Résumé
De multiples vulnérabilités dans Drupal permettent de réaliser diverses injections de code et d'obtenir un accès non autorisé.
Description
De multiples vulnérabilités ont été découvertes dans Drupal :
- plusieurs attaques de type cross-site scripting sont possibles dans Drupal versions 6.x ;
- des attaques de type cross-site request forgery ce qui peut entraîner l'effacement de certains éléments dans Drupal versions 5.x et 6.x ;
- en incitant sa victime à suivre un lien spécifiquement constitué, une personne malintentionnée peut obtenir un accès non autorisé à Drupal versions 5.x et 6.x ;
- des injections SQL sont possibles dans Drupal versions 6.x.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité DRUPAL-SA-2008-044 du 09 juillet 2008 :
http://drupal.org/node/280571