L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Drupal Core

alerte de vulnérabilité informatique CVE-2019-6341

Drupal Core : Cross Site Scripting via File Module/Subsystem

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via File Module/Subsystem de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Debian, Drupal Core, Fedora, IBM API Connect, I-Connect, Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 20/03/2019.
Références : CVE-2019-6341, DLA-1746-1, DRUPAL-SA-CORE-2019-004, DSA-4412-1, FEDORA-2019-2fbce03df3, FEDORA-2019-35589cfcb5, ibm10879443, Synology-SA-19:13, VIGILANCE-VUL-28786, ZDI-19-291.

Description de la vulnérabilité

Le module Core peut être installé sur Drupal.

Cependant, les données reçues via File Module/Subsystem ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via File Module/Subsystem de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2019-6339

Drupal Core : exécution de code via Phar Stream Wrapper

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Phar Stream Wrapper de Drupal Core, afin d'exécuter du code.
Produits concernés : Debian, Drupal Core, Fedora.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 17/01/2019.
Références : CERTFR-2019-AVI-027, CVE-2019-6339, DLA-1659-1, DRUPAL-SA-CORE-2019-001, DRUPAL-SA-CORE-2019-002, DSA-4370-1, FEDORA-2019-0c1d62bf5b, FEDORA-2019-82df33e428, VIGILANCE-VUL-28299, ZDI-19-130.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Phar Stream Wrapper de Drupal Core, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-14773

Symfony : obtention d'information via X-Original-URL / X-Rewrite-URL

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via X-Original-URL / X-Rewrite-URL de Symfony, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Drupal Core, Fedora, Symfony.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 02/08/2018.
Références : CERTFR-2018-AVI-370, CVE-2018-14773, DLA-1707-1, DRUPAL-SA-CORE-2018-005, DSA-4441-1, FEDORA-2018-4deae442f2, FEDORA-2018-6f3ceeb7cb, FEDORA-2018-732f45d43e, FEDORA-2018-7f43cbdb69, FEDORA-2018-9b54497b6e, FEDORA-2018-9c38d1dc1d, VIGILANCE-VUL-26884.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via X-Original-URL / X-Rewrite-URL de Symfony, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 25929

Drupal Core : Cross Site Scripting via CKEditor

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via CKEditor de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal Core.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-193, DRUPAL-SA-CORE-2018-003, VIGILANCE-VUL-25929.

Description de la vulnérabilité

Le module Core peut être installé sur Drupal.

Cependant, les données reçues via CKEditor ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via CKEditor de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-6926 CVE-2017-6927 CVE-2017-6928

Drupal Core : sept vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Core.
Produits concernés : Debian, Drupal Core, Fedora.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données, création/modification de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 22/02/2018.
Références : CERTFR-2018-AVI-099, CVE-2017-6926, CVE-2017-6927, CVE-2017-6928, CVE-2017-6929, CVE-2017-6930, CVE-2017-6931, CVE-2017-6932, DLA-1295-1, DRUPAL-SA-CORE-2018-001, DSA-4123-1, FEDORA-2018-143886fdbd, FEDORA-2018-d8269e4262, VIGILANCE-VUL-25346.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Core.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-6923 CVE-2017-6924 CVE-2017-6925

Drupal Core : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Core.
Produits concernés : Drupal Core.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 17/08/2017.
Références : CERTFR-2017-AVI-270, CVE-2017-6923, CVE-2017-6924, CVE-2017-6925, DRUPAL-SA-CORE-2017-004, PSA-2017-002, VIGILANCE-VUL-23558.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Drupal Core.

Un attaquant peut contourner les mesures de sécurité via Views, afin d'obtenir des informations sensibles. [grav:3/4; CVE-2017-6923]

Un attaquant peut contourner les mesures de sécurité via REST API, afin d'élever ses privilèges. [grav:2/4; CVE-2017-6924]

Un attaquant peut contourner les restrictions d'accès via Entity Access, afin de lire ou modifier des données. [grav:3/4; CVE-2017-6925]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-6920 CVE-2017-6921 CVE-2017-6922

Drupal Core : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Core.
Produits concernés : Debian, Drupal Core, Fedora.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 22/06/2017.
Références : CERTFR-2017-AVI-192, CVE-2017-6920, CVE-2017-6921, CVE-2017-6922, DLA-1004-1, DRUPAL-SA-CORE-2017-003, DSA-3897-1, FEDORA-2017-38113758e7, FEDORA-2017-e8a2017b3c, VIGILANCE-VUL-23053.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Drupal Core.

Un attaquant peut utiliser une vulnérabilité via PECL YAML, afin d'exécuter du code. [grav:4/4; CVE-2017-6920]

Un attaquant peut contourner les restrictions d'accès via REST, afin de lire ou modifier des données. [grav:3/4; CVE-2017-6921]

Un attaquant peut contourner les mesures de sécurité via Uploaded Files, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-6922]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-6919

Drupal Core 8 : exécution de code via PATCH et RESTful Web Services

Synthèse de la vulnérabilité

Un attaquant authentifié peut utiliser une vulnérabilité de Drupal Core 8 avec PATCH et RESTful Web Services activés, afin d'exécuter du code.
Produits concernés : Drupal Core, Fedora.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 18/04/2017.
Date révision : 20/04/2017.
Références : CERTFR-2017-AVI-124, CVE-2017-6919, DRUPAL-SA-CORE-2017-002, FEDORA-2017-041473e742, FEDORA-2017-e8767a2fbb, PSA-2017-001, VIGILANCE-VUL-22466.

Description de la vulnérabilité

Un attaquant authentifié peut utiliser une vulnérabilité de Drupal Core 8 avec PATCH et RESTful Web Services activés, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-6377 CVE-2017-6379 CVE-2017-6381

Drupal Core : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Core.
Produits concernés : Drupal Core, Fedora.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 16/03/2017.
Références : CERTFR-2017-AVI-085, CVE-2017-6377, CVE-2017-6379, CVE-2017-6381, DRUPAL-SA-CORE-2017-001, FEDORA-2017-05010f0b46, FEDORA-2017-9801754fd7, VIGILANCE-VUL-22147.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Drupal Core.

Un attaquant peut contourner les mesures de sécurité via Inline Private Files, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-6377]

Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations. [grav:3/4; CVE-2017-6379]

Un attaquant peut utiliser une vulnérabilité via Development Library, afin d'exécuter du code. [grav:3/4; CVE-2017-6381]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-9449 CVE-2016-9450 CVE-2016-9451

Drupal Core : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Core.
Produits concernés : Debian, Drupal Core, Fedora.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 17/11/2016.
Références : CERTFR-2016-AVI-382, CVE-2016-9449, CVE-2016-9450, CVE-2016-9451, CVE-2016-9452, DLA-715-1, DRUPAL-SA-CORE-2016-005, DSA-3718-1, FEDORA-2016-1cc5edde49, FEDORA-2016-95b1be8a3d, FEDORA-2016-ff9a74c6dc, VIGILANCE-VUL-21142.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Drupal Core.

Un attaquant peut contourner les mesures de sécurité via term_access, afin d'élever ses privilèges. [grav:2/4; CVE-2016-9449]

Un attaquant peut empoisonner le cache, pour modifier le contenu de la Password Reset Page. [grav:2/4; CVE-2016-9450]

Un attaquant peut tromper l'utilisateur via Confirmation Forms, afin de le rediriger vers un site malveillant. [grav:1/4; CVE-2016-9451]

Un attaquant peut provoquer une erreur fatale via Transliterate Mechanism, afin de mener un déni de service. [grav:1/4; CVE-2016-9452]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Drupal Core :