CERTA-2008-AVI-596
Vulnerability from certfr_avis - Published: 2008-12-11 - Updated: 2008-12-11
Deux vulnérabilités ont été découvertes dans Drupal. Ces vulnérabilités peuvent être exploitées afin de réaliser des attaques par injection de requêtes illégitimes par rebond (CSRF).
Description
Deux vulnérabilités ont été découvertes dans Drupal :
- la première vulnérabilité résulte d'un mauvais traitement de certaines requêtes HTML. L'exploitation de cette vulnérabilité permet de réaliser des attaques par injection de requêtes illégitimes par rebond (Cross Site Request Forgery ou CSRF) ;
- la seconde vulnérabilité est due à la présence de fichiers résiduels pouvant être utilisés par un attaquant distant.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |
|---|---|---|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Drupal versions ant\u00e9rieures \u00e0 la version 6.7.",
"product": {
"name": "Drupal",
"vendor": {
"name": "Drupal",
"scada": false
}
}
},
{
"description": "Drupal versions ant\u00e9rieures \u00e0 la version 5.13 ;",
"product": {
"name": "Drupal",
"vendor": {
"name": "Drupal",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Drupal :\n\n- la premi\u00e8re vuln\u00e9rabilit\u00e9 r\u00e9sulte d\u0027un mauvais traitement de\n certaines requ\u00eates HTML. L\u0027exploitation de cette vuln\u00e9rabilit\u00e9\n permet de r\u00e9aliser des attaques par injection de requ\u00eates\n ill\u00e9gitimes par rebond (Cross Site Request Forgery ou CSRF) ;\n- la seconde vuln\u00e9rabilit\u00e9 est due \u00e0 la pr\u00e9sence de fichiers r\u00e9siduels\n pouvant \u00eatre utilis\u00e9s par un attaquant distant.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2008-12-11T00:00:00",
"last_revision_date": "2008-12-11T00:00:00",
"links": [
{
"title": "Bulletin de mise \u00e0 jour Drupal num\u00e9ro SA-2008-073 du 10 d\u00e9cembre 2008 :",
"url": "http://drupal.org/node/345441"
}
],
"reference": "CERTA-2008-AVI-596",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2008-12-11T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de requ\u00eates ill\u00e9gitimes par rebond (CSRF)"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Drupal. Ces vuln\u00e9rabilit\u00e9s\npeuvent \u00eatre exploit\u00e9es afin de r\u00e9aliser des attaques par injection de\nrequ\u00eates ill\u00e9gitimes par rebond (\u003cspan class=\"textit\"\u003eCSRF\u003c/span\u003e).\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Drupal",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 num\u00e9ro SA-2008-073 du 10 d\u00e9cembre 2008",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…