Vigil@nce - Drupal : insertion de texte/lien dans les commentaires
septembre 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un commentaire utilisant un sélecteur CSS
caché, afin par exemple d’ajouter un lien pointant du site Drupal
vers son site.
– Produits concernés : Drupal Core
– Gravité : 2/4
– Date création : 05/09/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le service Drupal permet d’utiliser des sélecteurs CSS dans du
texte semi-HTML.
Cependant, par conception, ces sélecteurs permettent de cacher une
partie du texte.
Un attaquant peut donc créer un commentaire utilisant un sélecteur
CSS caché, afin par exemple d’ajouter un lien pointant du site
Drupal vers son site. Ainsi, le site de l’attaquant obtiendra un
meilleur classement dans les moteurs de recherche.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Drupal-insertion-de-texte-lien-dans-les-commentaires-13350