CERTFR-2025-AVI-0149_Multiples vulnerabilites dans Drupal

AVIS CERT

CERT-FR

Publié le 20 février 2025 à 12h00 - Mis à jour le 28 février 2025 à 16h01

Objet

Multiples vulnérabilités dans Drupal

Référence

CERTFR-2025-AVI-0149

Risque(s)

Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)
Non spécifié par l'éditeur

Système(s) affecté(s)

Drupal versions 10.4.x antérieures à 10.4.3
Drupal versions 11.0.x antérieures à 11.0.12
Drupal versions 11.1.x antérieures à 11.1.3
Drupal versions antérieures à 10.3.13

Résumé

De multiples vulnérabilités ont été découvertes dans Drupal. Certaines d'entre elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS), un contournement de la politique de sécurité et un problème de sécurité non spécifié par l'éditeur.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Drupal SA-CORE-2025-001 du 19 février 2025 : https://drupal.org/sa-core-2025-001
Bulletin de sécurité Drupal SA-CORE-2025-002 du 19 février 2025 : https://drupal.org/sa-core-2025-002
Bulletin de sécurité Drupal SA-CORE-2025-003 du 19 février 2025 : https://drupal.org/sa-core-2025-003

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0149/