Risque

Injection de code indirecte.

Systèmes affectés

  • Drupal versions 5.17 et antérieures ;
  • Drupal versions 6.11 et antérieures.

Résumé

Deux vulnérabilités dans Drupal permettent de réaliser des injections de code indirectes.

Description

Deux vulnérabilités ont été découvertes dans Drupal :

  • la vulnérabilité décrite dans l'avis CERTA-2009-AVI-175 concernant l'utilisation de caractères particuliers en UTF-8 n'était pas suffisamment bien corrigée ;
  • une faille dans le module taxonomy permet à un utilisateur disposant de droits spécifiques (administer taxonomy) de réaliser des injections de code indirectes.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation