Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Drupal, version 4.7.x et 5.x

Résumé

Une vulnérabilité dans le gestionnaire de contenu Drupal permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Drupal est un logiciel libre de gestion de contenu.

Une erreur dans la prévisualisation des commentaires permet à un utilisateur autorisé à poster des commentaires et ayant accès à plusieurs filtres d'entrées d'exécuter du code arbitraire à distance.

Contournement provisoire

  • Désactiver le module de gestion des commentaires ;
  • ôter le droit de poster aux utilisateurs ou limiter l'accès à un seul filtre d'entrée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation