Une belle série de joyeusetés a été colmatée dans cette version. Cela commence par du classique Cross Site Scripting à l'évidence via le module upload (avec une série d'autres vulnérabilités dans le module). Ensuite au menu nous avons de l'exécution de code via le module BlogAPI. Et pour le dessert un plus exotique cross site request forgeries par l'API Forms. Et cela toute version confondues (5.X et 6.X).

Donc autant dire qu'il est pertinent de colmater cela au plus vite en mettant à jour.

Description du patch (en anglais) : http://drupal.org/node/295053.

Commentaires