Vigil@nce - Drupal Core : exécution de code via install.php
février 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut appeler la page install.php sur une installation
non achevée de Drupal Core, afin d’exécuter du code.
– Produits concernés : Drupal Core.
– Gravité : 2/4.
– Date création : 03/12/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le script install.php est utilisé durant l’installation de Drupal.
Cependant, si l’administrateur ne termine pas son installation, et
met le site en ligne, un attaquant peut employer install.php pour
accéder à la base et exécuter du code sur le serveur.
Un attaquant peut donc appeler la page install.php sur une
installation non achevée de Drupal Core, afin d’exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Drupal-Core-execution-de-code-via-install-php-18421