|
|
SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Drupal LoginToboggan Module username : Insertion de Script
13/07/2007 13H53
Référence Secunia : SA26028
Date de publication : 2007-07-13
Risque : Non Critique. Niveau 1 sur 5. 
Impact : Cross Site Scripting
Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
Drupal LoginToboggan Module 4.x
Description :
Une vulnérabilité a été rapportée dans le Drupal LoginToboggan module, qui pourrait être exploité par des utilisateurs malicieux pour conduire des attaques par insertion de script.
L'entrée passée au nom d'utilisateur n'est pas correctement filtrée avant d'être inclus dans "log out" links. Cela pourrait être exploité par un utilisateur malicieux pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site affecté.
L'exploitation de ce problème est possible seulement si un utilisateur est capable d'insérer du code JavaScript dans le nom d'utilisateur.
La vulnérabilité est rapportée dans LoginToboggan Module version 4.7.x-1.0. Les autres versions pourraient également être affectées.
Solutions :
Drupal 4.7.x:
Mettre à jour LoginToboggan à version 4.7.x-1.1.
http://drupal.org/node/158694
Vulnérabilité découverte par :
L'éditeur crédite Chad Phillips.
Référence :
http://drupal.org/node/158921
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS