L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Drupal Modules ~ non exhaustif

annonce de vulnérabilité informatique 28457

Drupal Public Download Count : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de Drupal Public Download Count, afin de le rediriger vers un site malveillant.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 07/02/2019.
Références : DRUPAL-SA-CONTRIB-2019-012, VIGILANCE-VUL-28457.

Description de la vulnérabilité

Un attaquant peut tromper l'utilisateur de Drupal Public Download Count, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 28353

Drupal Panels Breadcrumbs : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal Panels Breadcrumbs, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 24/01/2019.
Références : DRUPAL-SA-CONTRIB-2019-007, VIGILANCE-VUL-28353.

Description de la vulnérabilité

Le module Panels Breadcrumbs peut être installé sur Drupal.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Drupal Panels Breadcrumbs, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 28350

Drupal Preview Link : élévation de privilèges via Invalid Tokens

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Invalid Tokens de Drupal Preview Link, afin d'élever ses privilèges.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 24/01/2019.
Références : DRUPAL-SA-CONTRIB-2019-004, VIGILANCE-VUL-28350.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Invalid Tokens de Drupal Preview Link, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 28213

Drupal Provision : lecture de fichier

Synthèse de la vulnérabilité

Un attaquant local peut lire un fichier de Drupal Provision, afin d'obtenir des informations sensibles.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 10/01/2019.
Références : DRUPAL-SA-CONTRIB-2019-002, VIGILANCE-VUL-28213.

Description de la vulnérabilité

Un attaquant local peut lire un fichier de Drupal Provision, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 28212

Drupal Aegir HTTPS : lecture de fichier

Synthèse de la vulnérabilité

Un attaquant local peut lire un fichier de Drupal Aegir HTTPS, afin d'obtenir des informations sensibles.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 10/01/2019.
Références : DRUPAL-SA-CONTRIB-2019-003, VIGILANCE-VUL-28212.

Description de la vulnérabilité

Un attaquant local peut lire un fichier de Drupal Aegir HTTPS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 28211

Drupal Phone Field : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de Drupal Phone Field, afin de lire ou modifier des données.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 10/01/2019.
Références : DRUPAL-SA-CONTRIB-2019-001, VIGILANCE-VUL-28211.

Description de la vulnérabilité

Le produit Drupal Phone Field utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de Drupal Phone Field, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 28063

Drupal JSON-API : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions de Drupal JSON:API, afin d'élever ses privilèges.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : compte utilisateur.
Date création : 20/12/2018.
Références : DRUPAL-SA-CONTRIB-2018-081, VIGILANCE-VUL-28063.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions de Drupal JSON:API, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 28062

Drupal E-Sign : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal E-Sign, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 20/12/2018.
Références : DRUPAL-SA-CONTRIB-2018-080, VIGILANCE-VUL-28062.

Description de la vulnérabilité

Le module E-Sign peut être installé sur Drupal.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Drupal E-Sign, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 27959

Drupal Responsive Menus : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal Responsive Menus, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/12/2018.
Références : DRUPAL-SA-CONTRIB-2018-079, VIGILANCE-VUL-27959.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal Responsive Menus, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 27958

Drupal Salesforce Suite : obtention d'information via Title/ID

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Title/ID de Drupal Salesforce Suite, afin d'obtenir des informations sensibles.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 06/12/2018.
Références : DRUPAL-SA-CONTRIB-2018-078, VIGILANCE-VUL-27958.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Title/ID de Drupal Salesforce Suite, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Drupal Modules ~ non exhaustif :