☰

Drupal vietnes pakļautas SQL injekciju ievainojamībai

Izmantojot šo ievainojamību, uzbrucējs var piešķirt sev administratora tiesības un izpildīt patvaļīgu PHP kodu, iespējami arī cita veida uzbrukumi. Uzbrukumu var veikt jebkurš anonīms Drupal vietnes apmeklētājs, tam nav nepieciešama sociālā inženierija vai citas papildus uzbrukumu metodes.

Ievainojamībai pakļautas Drupal versijas: 7.0 līdz 7.31

15.oktobrī tika izlaista Drupal 7.32 versija, kurā ir novērsta atklātā drošības ievainojamība. Drupal 7 administratori tiek aicināti nekavējoties veikt atjaunināšanu.

Ja atjaunināšanu veikt nevar, iespējams uzstādīt atsevišķu Drupal datubāzes drošības ielāpu, kas novērš ievainojamību, līdz brīdim, kad būs iespējams veikt atjaunināšanu uz jaunāko Drupal versiju.

Drupal ir populāra bezmaksas, atvērtā koda, satura vadības sistēma un tīmekļa risinājumu izstrādes platforma.

Kļūda plašāk aprakstīta Drupal drošības rekomendācijā: CVE-2014-3704 un Sektion Eins drošības rekomendācijā: Drupal - pre Auth SQL Injection Vulnerability.