Avis du CERTA : Vulnérabilité dans Drupal
décembre 2007 par CERT-FR
1 Risque
Injection de commandes SQL.
2 Systèmes affectés
* Drupal versions 4.7.x antérieures à 4.7.9 ;
* Drupal versions 5.x antérieures à 5.4.
3 Résumé
Une vulnérabilité permettant l’injection de commandes SQL a été découverte dans
Drupal.
4 Description
Une vulnérabilité a été découverte dans Drupal. Celle-ci permet l’injection de
commandes SQL par l’intermédiaire de la fonction taxonomy_select_nodes(). Cette
fonction est utilisée par quelques modules, comme taxonomy_module, ajaxLoader
et ubrowser.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Drupal SA-2007-031 du 05 décembre 2007 :