Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Securinfos : Drupal, Insertion de Script et Divulgation d’Informations

mai 2009 par Marc Jacob

Quelques vulnérabilités ont été identifiées dans Drupal, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques par insertion de script ou pour divulguer des informations sensibles potentielles.

1) User fourni input n’est pas correctement filtrée avant d’être utilisée. Ainsi, il serait possible d’exploiter cette vulnérabilité pour insérer du code HTML et un script arbitraire, qui sera exécuté dans une session de navigation d’un utilisateur dans le contexte d’un site affecté quand les données malicieuses sont consultées et interprété comme UTF-7.

L’exploitation de ce problème requière la possibilité "à post content".

2) Une erreur non spécifiée pourrait être exploitée afin de divulguer des informations sur "form submissions" quand un utilisateur est poussé à soumettre un formulaire après avoir suivi un lien spécialement conçu pour ce site. Cela peut ensuite être exploité pour conduire par ex. des attaques par requête cross-site forgée.

Les vulnérabilités sont rapportées dans Drupal 5.x précédente à la version 5.17 et Drupal 6.x précédente à la version 6.11.

https://www.securinfos.info/alertes-bulletins-securite/20090430-Drupal-Insertion-de-Script-et-Divulgation-d-Informations-3.php




Voir les articles précédents

    

Voir les articles suivants