Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Drupal MySite Module Title : Vulnérabilité d'Insertion de Script

18/12/2006 14H53
Référence Secunia : SA23405  
Date de publication : 2006-12-18

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Drupal MySite Module 4.x
Drupal MySite Module 5.x

Description :
Une vulnérabilité a été rapportée dans le module MySite pour Drupal, qui pourrait être exploitée par des utilisateurs malicieux pour conduire des attaques par insertion de script.

L'entrée passée au champ de formulaire "Title" en éditant MySite pages n'est pas correctement filtrée avant d'être utilisée. Cela pourrait être exploité pour insérer du code HTML et de script arbitraire, qui est exécuté dans une session de navigation d'un utilisateur dans le contexte d'un site affecté quand les données malicieuses sont consultées.

La vulnérabilité est rapportée dans les versions suivantes:
MySite 5.x-1.2
MySite 4.7.x-3.2
MySite download précédente à nouveau système de versioning


Solutions :
Mettre à jour pour la dernière version.

MySite 4.x:
Mettre à jour en version MySite 4.7.x-3.3

MySite 5.x:
Mettre à jour en version 5.x-1.3.

Vulnérabilité découverte par :

L'éditeur crédite Mark Baggett.

Référence :
http://drupal.org/node/103958






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.