Vigil@nce - Drupal Services : transmission de données via drupal_form_submit
février 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut transmettre des données via drupal_form_submit()
de Drupal Services, afin de contourner les restrictions d’accès.
Produits concernés : Drupal Modules
Gravité : 2/4
Date création : 30/01/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Services peut être installé sur Drupal.
La fonction drupal_form_submit() permet de soumettre
automatiquement un formulaire. Cependant, elle ne vérifie pas les
contrôles d’accès.
Un attaquant peut donc transmettre des données via
drupal_form_submit() de Drupal Services, afin de contourner les
restrictions d’accès.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET