Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Drupal : Vulnérabilités d'Insertion de Script

28/02/2008 10H54
Référence Secunia : SA29118 
Date de publication : 2008-02-28

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Drupal 6.x


Description :
Quelques vulnérabilités ont été identifiées dans Drupal, qui pourraient être exploitées par des utilisateurs malicieux pour conduire des attaques par insertion de script.

1) L'entrée passée comme titles n'est pas correctement filtrée avant d'être enregistrée. Cela pourrait être exploité pour insérer du code HTML et de script arbitraire, qui est exécuté dans une session de navigation d'un utilisateur dans le contexte d'un site affecté quand les données malicieuses sont consultées dans content edit forms.

2) L'entrée passée à des paramètres non-spécifiés n'est pas correctement filtrée avant d'être enregistrée. Cela pourrait être exploité pour insérer du code HTML et de script arbitraire, qui est exécuté dans une session de navigation d'un utilisateur dans le contexte d'un site affecté quand les données malicieuses sont consultées.

L'exploitation de ce problème requière à la fois dans cases qui l'attaquant a les informations d'authentification utilisateur valides.

Les vulnérabilités sont rapportées en version 6.0.


Solutions :
Mettre à jour en version 6.1.


Vulnérabilité découverte par :

1) The Drupal security team
2) L'éditeur crédite Steve McKenzie.

Référence :
DRUPAL-SA-2008-018:
http://drupal.org/node/227608




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.