Bulletin d'alerte Debian

DLA-550-1 drupal7 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 juillet 2016
Paquets concernés :
drupal7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-6211.
Plus de précisions :

Il existait une vulnérabilité dans le module utilisateur dans drupal7, un environnement de gestion de contenu.

Si du code founri ou personnalisé particulier déclenche une reconstruction du formulaire de profil utilisateur, un utilisateur enregistré peut se voir accorder tous les rôles sur le site. Cela aurait pour conséquence habituellement que l'utilisateur obtienne un accès d'administration.

Pour Debian 7 Wheezy, ce problème a été corrigé dans drupal7 version 7.14-2+deb7u14.

Nous vous recommandons de mettre à jour vos paquets drupal7.