Securinfos : Drupal News Page Module keywords, Injection SQL
avril 2009 par Securinfos
Une vulnérabilité a été rapportée dans le module News Page pour Drupal, qui pourrait être exploitée par des utilisateurs malicieux pour conduire des attaques SQL.
L’entrée passée via keywords n’est pas correctement filtrée avant d’être utilisée dans des requêtes SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.
L’exploitation de ce problème requière les privilèges pour créer et éditer News Page nodes.
La vulnérabilité est rapportée en version 5.x précédente à 5.x-1.2.