Multiples vulnérabilités dans Drupal

Gestion du document

Référence	CERTFR-2025-AVI-0149
Titre	Multiples vulnérabilités dans Drupal
Date de la première version	20 février 2025
Date de la dernière version	20 février 2025
Source(s)	Bulletin de sécurité Drupal SA-CORE-2025-001 du 19 février 2025 Bulletin de sécurité Drupal SA-CORE-2025-002 du 19 février 2025 Bulletin de sécurité Drupal SA-CORE-2025-003 du 19 février 2025

Risques

Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)
Non spécifié par l'éditeur

Systèmes affectés

Drupal versions 10.4.x antérieures à 10.4.3
Drupal versions 11.0.x antérieures à 11.0.12
Drupal versions 11.1.x antérieures à 11.1.3
Drupal versions antérieures à 10.3.13

Résumé

De multiples vulnérabilités ont été découvertes dans Drupal. Certaines d'entre elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS), un contournement de la politique de sécurité et un problème de sécurité non spécifié par l'éditeur.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Drupal SA-CORE-2025-001 du 19 février 2025

https://drupal.org/sa-core-2025-001

Bulletin de sécurité Drupal SA-CORE-2025-002 du 19 février 2025

https://drupal.org/sa-core-2025-002

Bulletin de sécurité Drupal SA-CORE-2025-003 du 19 février 2025

https://drupal.org/sa-core-2025-003

Avis du CERT-FR