Vigil@nce - Drupal Panelizer : élévation de privilèges
septembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant avec les droits suffisants peut modifier l’apparence
du panel de Drupal Panelizer, mais sans changer leur contenu.
Produits concernés : Drupal Modules non exhaustif.
Gravité : 1/4.
Date création : 18/08/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Panelizer peut être installé sur Drupal.
Un utilisateur avec les droits "Use the Panels In-Place Editor" et
"Change layouts with the Panels In-Place Editor" peut accéder à
IPE. Cependant, le contrôle des autorisations pour les entités
est insuffisant.
Un attaquant avec les droits suffisants peut donc modifier
l’apparence du panel de Drupal Panelizer, mais sans changer leur
contenu.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Drupal-Panelizer-elevation-de-privileges-20424