Securinfos : Drupal, Insertion de Script et Divulgation d’Informations
mai 2009 par Marc Jacob
Quelques vulnérabilités ont été identifiées dans Drupal, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques par insertion de script ou pour divulguer des informations sensibles potentielles.
1) User fourni input n’est pas correctement filtrée avant d’être utilisée. Ainsi, il serait possible d’exploiter cette vulnérabilité pour insérer du code HTML et un script arbitraire, qui sera exécuté dans une session de navigation d’un utilisateur dans le contexte d’un site affecté quand les données malicieuses sont consultées et interprété comme UTF-7.
L’exploitation de ce problème requière la possibilité "à post content".
2) Une erreur non spécifiée pourrait être exploitée afin de divulguer des informations sur "form submissions" quand un utilisateur est poussé à soumettre un formulaire après avoir suivi un lien spécialement conçu pour ce site. Cela peut ensuite être exploité pour conduire par ex. des attaques par requête cross-site forgée.
Les vulnérabilités sont rapportées dans Drupal 5.x précédente à la version 5.17 et Drupal 6.x précédente à la version 6.11.