Its core Drupal 7 is vulnerable to a “Highly Critical” (as developers call it) vulnerability that allows an attacker to gain access to the website using SQL injection.
Η ομάδα ασφαλείας της Drupal αναφέρει ότι οι εκδόσεις του λογισμικού Drupal 7 πριν από την έκδοση 7.32 είναι ευάλωτες σε μια υψηλής κρισιμότητας ευπάθεια που επιτρέπει SQL injections. Η έκδοση 7.32 που κυκλοφόρησε άμεσα είναι διαθέσιμη για την αντιμετώπιση του bug και η ομάδα του CMS συνιστά σε όλους τους διαχειριστές του συγκεκριμένου CMS να ενημερώσουν τις ιστοσελίδες τους άμεσα. Η πλατφόρμα είναι ένα δημοφιλές σύστημα διαχείρισης περιεχομένου (CMS ή Content Management System) τα οποία είναι συνήθως είναι διαθέσιμα δωρεάν και είναι ανοικτού code.
An attacker who could exploit this vulnerability could gain privilege privileges or run arbitrary PHP code. The attack can be started by an anonymous user, meaning that they do not need social engineering techniques or anything else to start the attack.
The company security team recommends installing the latest version on all sites. If administrators do not want to change all the php files, it is available a simple patch, which will close the security gap.
Vulnerability exists in abstraction API, which one of its purposes is to
"Disinfects" database requests from this type of attack.
The vulnerability was discovered by Sektion As, a German PHP security company hired to monitor the platform from an anonymous customer. The bug has been named in CVE-2014-3704.
