Vigil@nce - Drupal Entity API : contournement d’accès
janvier 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut accéder aux statistiques, ou aux commentaires
via Drupal Entity API, afin d’obtenir des informations sensibles.
– Produits concernés : Drupal Modules, Fedora
– Gravité : 2/4
– Date création : 09/01/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Entity API permet d’unifier l’accès aux éléments de
Drupal.
Cependant, les restrictions d’accès ne sont pas appliquées via
cette interface.
Un attaquant peut donc accéder aux statistiques, ou aux
commentaires via Drupal Entity API, afin d’obtenir des
informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Drupal-Entity-API-contournement-d-acces-14045