Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- Drupal versions 5.x antérieures à 5.11 ;
- Drupal versions 6.x antérieures à 6.5.
Résumé
Plusieurs vulnérabilités dans Drupal permettent de contourner la politique de sécurité et d'accéder à certains fichiers.
Description
Plusieurs vulnérabilités ont été découvertes dans Drupal :
- des utilisateurs non privilégiés peuvent attacher des fichiers au contenu (Drupal 6.x) ou récupérer des fichiers attachés au contenu (Drupal 5.x) ;
- un problème dans le module de gestion des utilisateurs permet de se connecter malgré des restrictions d'accès ;
- le module BlogAPI ne valide pas correctement certains champs ;
- une vulnérabilité dans le module node API permet de contourner la validation de certaines pages (Drupal 5.x).
Solution
Mettre Drupal à jour en version 5.11 ou 6.5 (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal SA-2008-060 du 08 octobre 2008 http://drupal.org/node/318706
