Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Drupal, version 4.7.x et 5.x
Résumé
Une vulnérabilité dans le gestionnaire de contenu Drupal permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
Drupal est un logiciel libre de gestion de contenu.
Une erreur dans la prévisualisation des commentaires permet à un utilisateur autorisé à poster des commentaires et ayant accès à plusieurs filtres d'entrées d'exécuter du code arbitraire à distance.
Contournement provisoire
- Désactiver le module de gestion des commentaires ;
- ôter le droit de poster aux utilisateurs ou limiter l'accès à un seul filtre d'entrée.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal DRUPAL-SA-2007-005 du 29 janvier 2007 : http://drupal.org/node/113935