Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Drupal version 4.6 avec le module Site Profile Directory versions 1.1.2.1 et précédentes ;
  • Drupal version 4.7 avec le module Search Keywords versions 1.15 et précédentes ;
  • Drupal version 4.7 avec le module Site Profile Directory versions 1.2.2.1 et précédentes ;
  • Drupal version 4.7 avec le module Userreview versions 1.19 et précédentes.

Résumé

Drupal est un gestionnaire de contenu (CMS) écrit en PHP. Des vulnérabilités ont été découvertes dans les modules :

  • Search Keywords ;
  • Site Profile Directory ;
  • Userreview;

permettant de conduire des attaques de type Cross site scripting.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation