Vigil@nce - Drupal Embedded Media Field : contournement du contrôle d’accès par URL
avril 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser des URLs spéciales pour Drupal
Embedded Media Field, afin d’accéder à des pages interdites.
Produits concernés : Drupal Modules non exhaustif, Fedora.
Gravité : 2/4.
Date création : 11/02/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Embedded Media Field peut être installé sur Drupal.
Il est possible de définir des restrictions basées sur la partie
chemin de l’URL. Cependant, le décodage de l’URL n’est pas fait
correctement et des URLs spécialement formées permettent
d’accéder à des pages normalement interdites.
Un attaquant peut donc utiliser des URLs spéciales pour Drupal
Embedded Media Field, afin d’accéder à des pages interdites.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET