Manque de validation de domaine dans le noyau de Drupal

La route iframe Media oEmbed ne valide pas correctement le paramètre de domaine de l'iframe, ce qui permet d'afficher les intégrations dans le contexte du domaine principal. Dans certaines circonstances, cela pourrait entraîner un cross-site scripting (XSS), des fuites de cookies ou d'autres vulnérabilités. Le noyau de Drupal 7 n'inclut pas le module Media et n'est donc pas affecté.