Multiples vulnérabilités dans Drupal

Gestion du document

Référence	CERTA-2009-AVI-549-001
Titre	Multiples vulnérabilités dans Drupal
Date de la première version	17 décembre 2009
Date de la dernière version	24 décembre 2009
Source(s)	Bulletin de sécurité Drupal SA-CORE-2009-009 du 16 décembre 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Injection de code indirecte.

Systèmes affectés

Drupal versions 5.20 et antérieures ;
Drupal versions 6.14 et antérieures.

Résumé

De multiples vulnérabilités dans Drupal permettent de réaliser des injections de code indirectes.

Description

De multiples vulnérabilités ont été découvertes dans les modules Contact et Menu de Drupal. L'exploitation de ces vulnérabilités permet d'injecter du code dans les pages d'administration de ces modules.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Drupal SA-CORE-2009-009 du 16 décembre 2009 :
```
http://drupal.org/node/661586
```

Référence CVE CVE-2009-4369 :

https://www.cve.org/CVERecord?id=CVE-2009-4369

Référence CVE CVE-2009-4370 :

https://www.cve.org/CVERecord?id=CVE-2009-4370

Référence CVE CVE-2009-4371 :

https://www.cve.org/CVERecord?id=CVE-2009-4371

Gestion détaillée du document

le 17 décembre 2009: version initiale.

le 24 décembre 2009: ajout des références CVE.

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Drupal