Risque

  • Injection de requêtes illégitimes par rebond (CSRF) ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Drupal versions antérieures à la version 5.13 ;
  • Drupal versions antérieures à la version 6.7.

Résumé

Deux vulnérabilités ont été découvertes dans Drupal. Ces vulnérabilités peuvent être exploitées afin de réaliser des attaques par injection de requêtes illégitimes par rebond (CSRF).

Description

Deux vulnérabilités ont été découvertes dans Drupal :

  • la première vulnérabilité résulte d'un mauvais traitement de certaines requêtes HTML. L'exploitation de cette vulnérabilité permet de réaliser des attaques par injection de requêtes illégitimes par rebond (Cross Site Request Forgery ou CSRF) ;
  • la seconde vulnérabilité est due à la présence de fichiers résiduels pouvant être utilisés par un attaquant distant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation