Бесплатно Экспресс-аудит сайта:

17.10.2014

Разработчики Drupal устранили в CMS критическую уязвимость

Опасная уязвимость, позволяющая осуществить SQL-инъекцию на web-ресурсах на базе Drupal, была устранена разработчиками популярной CMS. Пользователям системы управления контентом рекомендуется установить обновление как можно скорее. Брешь затрагивает ядро Drupal версий 7.x и была устранена в выпуске 7.32.

«Drupal 7 содержит приложение базы данных, которое анализирует запросы, чтобы предотвратить осуществление атак с использованием SQL-инъекций», - следует из сообщения команды разработчиков. По их словам в данном API и была обнаружена брешь, позволяющая атакующему совершить нападение. При этом в результате атаки неавторизованный злоумышленник может как повысить свои привилегии, так и выполнить произвольный PHP код.

Отдельно эксперты подчеркнули, что на момент выпуска исправления фактов совершения взлома с использованием бреши зафиксировано не было. Вместе с тем, обновление все же стоит установить в кратчайшие сроки, а для тех, кто по каким-либо причинам не может в настоящий момент перейти на новую версию, создатели Drupal выпустили специальную утилиту, позволяющую временно устранить уязвимость.

Подробное описание SQL-инъекции в CMS доступно по адресу: securitylab.ru/vulnerability/460024.php