Risque
- Cross-site scripting
Systèmes affectés
- Drupal version 4.6.8 et antérieures ;
- Drupal version 4.7.2 et antérieures.
Résumé
Une vulnérabilité dans Drupal permet à un utilisateur distant de conduire une attaque de type cross-site scripting.
Description
Un manque de contrôle des paramètres passés au module user.module de Drupal permet à un utilisateur distant d'injecter indirectement du script ou du code HTML dans les pages visualisées par un utilisateur de l'application Drupal vulnérable.
Solution
Les versions 4.6.9 et 4.7.3 corrigent le problème :
http://www.drupal.org/node/76748
Documentation
- Bulletin de sécurité drupal DRUPAL-SA-2006-011 du 2 août 2006 : http://www.drupal.org/node/76748