Risques

  • Attaques de type cross site scripting
  • Déni de service à distance

Systèmes affectés

  • Drupal 4.6.x ;
  • Drupal 4.7.x.

Description

Plusieurs vulnérabilités découvertes dans Drupal permettent à un utilisateur malintentionné de provoquer un déni de service à distance ou de réaliser des attaques de types Cross Site Scripting.

Un utilisateur malveillant peut exploiter ces vulnérabilités afin d'inclure du code arbitraire sur le serveur. Ce code sera exécuté dans le contexte du navigateur Internet de l'utilisateur accèdant au serveur vulnérable.

Solution

Appliquer les mises à jour de sécurité Drupal en passant à la version 4.6.11 ou 4.7.5 disponibles à l'adresse suivante :

http://drupal.org/project/Drupal+project

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation