S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 septembre 2006
N° CERTA-2006-AVI-402
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2006-AVI-402
Titre Vulnérabilités dans Drupal
Date de la première version21 septembre 2006
Date de la dernière version21 septembre 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Drupal version 4.6 avec le module Site Profile Directory versions 1.1.2.1 et précédentes ;
  • Drupal version 4.7 avec le module Search Keywords versions 1.15 et précédentes ;
  • Drupal version 4.7 avec le module Site Profile Directory versions 1.2.2.1 et précédentes ;
  • Drupal version 4.7 avec le module Userreview versions 1.19 et précédentes.

Résumé

Drupal est un gestionnaire de contenu (CMS) écrit en PHP. Des vulnérabilités ont été découvertes dans les modules :

  • Search Keywords ;
  • Site Profile Directory ;
  • Userreview;

permettant de conduire des attaques de type Cross site scripting.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 septembre 2006
    version initiale.