Risque
Injection de code indirecte.
Systèmes affectés
- Drupal versions 5.17 et antérieures ;
- Drupal versions 6.11 et antérieures.
Résumé
Deux vulnérabilités dans Drupal permettent de réaliser des injections de code indirectes.
Description
Deux vulnérabilités ont été découvertes dans Drupal :
- la vulnérabilité décrite dans l'avis CERTA-2009-AVI-175 concernant l'utilisation de caractères particuliers en UTF-8 n'était pas suffisamment bien corrigée ;
- une faille dans le module taxonomy permet à un utilisateur disposant de droits spécifiques (administer taxonomy) de réaliser des injections de code indirectes.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SA-CORE-2009-006 du 13 mai 2009 :
http://drupal.org/node/461886