|
|
SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Drupal OpenID Module Vulnérabilités
10/07/2008 09H56
Référence Secunia : SA31027
Date de publication : 2008-07-10
Risque : Non Critique. Niveau 2 sur 5. 
Impact : Cross Site Scripting
Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
Drupal OpenID Module 5.x
Description :
Quelques vulnérabilités ont été identifiées dans le module OpenID pour Drupal, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting ou des attaques par requête cross-site forgée.
1) Une certaine entrée passée depuis le fournisseur OpenID n'est pas correctement filtrée avant d'être retournée à un utilisateur. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site affecté.
2) Le module permet aux utilisateurs de réaliser certaines actions via des requêtes HTTP sans réaliser de vérifications de validité pour vérifier la requête. Cela pourrait être exploité à par ex. supprimer des identités OpenID en incitant un utilisateur en cours à visiter un site malicieux.
Les vulnérabilités affectent les versions inférieures à 5x.-1.2.
Solutions :
Mettre à jour en version 5x.-1.2.
http://drupal.org/node/280593
Vulnérabilité découverte par :
Neil Drumm et Peter Wolanin, Drupal Security Team
Référence :
SA-2008-045:
http://drupal.org/node/280592
Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS