Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Drupal Acidfree Module node titles : Vulnérabilité d'Injection SQL

24/01/2007 14H23
Référence Secunia : SA23895 
Date de publication : 2007-01-24

Risque : Non Critique. Niveau 2 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Drupal Acidfree Module 4.x

Description :
Une vulnérabilité a été rapportée dans le module Acidfree pour Drupal, qui pourrait être exploitée par des utilisateurs malicieux pour conduire des attaques SQL.

L'entrée passée via node titles n'est pas correctement filtrée avant d'être utilisée dans une requête SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.

L'exploitation de ce problème pourrait entrainer un accès administrateur, mais nécessite un compte utilisateur valide avec "create acidfree albums" privileges.

La vulnérabilité est rapportée en versions inférieures à 4.6.x-1.0 et 4.7.x-1.0.


Solutions :
Mettre à jour pour 4.6.x-1.0 ou 4.7.x-1.0.


Vulnérabilité découverte par :

L'éditeur crédite Brett Yagel (yagel).

Référence :
http://drupal.org/node/112145




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.