Vigil@nce - Drupal Media : traversée de répertoire
janvier 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut traverser les répertoires de Drupal Media, afin
de lire un fichier situé hors de la racine du service.
– Produits concernés : Drupal Modules
– Gravité : 2/4
– Date création : 09/01/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Media fournit la permission "Import media files from the
local file system", qui permet d’importer un fichier.
Cependant, les utilisateurs possédant cette permission peuvent
importer un fichier situé hors du répertoire d’installation de
Drupal.
Un attaquant peut donc traverser les répertoires de Drupal Media,
afin de lire un fichier situé hors de la racine du service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Drupal-Media-traversee-de-repertoire-14046