Vigil@nce - Drupal me aliases : élévation de privilèges via une redirection incontrôlée
août 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser utiliser les URLs produites par Drupal
me aliases, afin d’accéder au contenu non autorisé.
Produits concernés : Drupal Modules non exhaustif.
Gravité : 2/4.
Date création : 25/06/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module me aliases peut être installé sur Drupal.
Le module fournit des alias d’URLs. Cependant, le module ne
vérifie pas les permissions d’accès aux pages référencés par
une redirection qu’il a créé.
Un attaquant peut donc utiliser utiliser les URLs produites par
Drupal me aliases, afin d’accéder au contenu non autorisé.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET