Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Versions antérieures à Drupal 7.18 (pour la branche 7)
  • versions antérieures à Drupal 6.27

Résumé

Trois vulnérabilités ont été corrigées dans Drupal. Deux permettent de contourner les politiques de sécurités dans le module de recherche et le module d'envoi de fichier. La dernière permet une exécution de code arbitraire à distance en envoyant un fichier spécialement conçu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation