Vigil@nce - Drupal Views Bulk Operations : élévation de privilèges
septembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser la liste des comptes de Drupal Views
Bulk Operations, afin d’élever ses privilèges.
Produits concernés : Drupal Modules non exhaustif, Fedora.
Gravité : 2/4.
Date création : 02/07/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Views Bulk Operations peut être installé sur Drupal.
Le module donne accès à une liste de compte utilisateurs.
Cependant, les permissions des actions sur cette liste ne sont pas
vérifiées correctement et il est possible de se donner les
droits d’administration.
Un attaquant peut donc utiliser la liste des comptes de Drupal
Views Bulk Operations, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Drupal-Views-Bulk-Operations-elevation-de-privileges-17292