Attaque du type injection SQL par le biais de modules vulnérables pour Drupal 4.x et 5.x.

Une vulnérabilité, classifiée comme "moyennement critique", a été rapportée dans "Drupal", qui pourrait permettre à un internaute malveillant d’effectuer des attaques du type injection SQL.

Les entrées envoyées à la fonction "taxonomy_select_nodes()" ne sont pas traitées correctement avant d’être utilisées dans une requête SQL. Cette erreur peut être exploitée pour injecter du code SQL arbitraire.

L’exploitation requiert qu’un des modules ayant cette vulnérabilité soit installé. Les modules vulnérables sont, "taxonomy_menu", "ajaxLoader" ou "ubrowser".

La vulnérabilité a été rapportée pour toutes les versions de Drupal antérieures à la version 4.7.9 et toutes les versions Drupal antérieures à la version 5.4.

Le fournisseur propose les mises à jour 4.7.9 ou 5.4 pour combler cette vulnérabilité.

Publicités