Its core Drupal 7 is vulnerable to a “Highly Critical” (as developers call it) vulnerability that allows an attacker to gain access to the webσελίδα using SQL injection.
Η team ασφαλείας της Drupal αναφέρει ότι οι εκδόσεις του λογισμικού Drupal 7 πριν από την έκδοση 7.32 είναι ευάλωτες σε μια υψηλής κρισιμότητας ευπάθεια που επιτρέπει SQL injections. Η έκδοση 7.32 που κυκλοφόρησε άμεσα είναι διαθέσιμη για την αντιμετώπιση του bug και η ομάδα του CMS συνιστά σε όλους τους διαχειριστές του συγκεκριμένου CMS να ενημερώσουν τις ιστοσελίδες τους άμεσα. Η πλατφόρμα είναι ένα δημοφιλές σύστημα διαχείρισης περιεχομένου (CMS ή Content Management System) τα οποία είναι συνήθως είναι διαθέσιμα δωρεάν και είναι ανοικτού κώδικα.
An attacker who could exploit this vulnerability could gain privilege privileges or run arbitrary PHP code. The attack can be started by an anonymous user, meaning that they do not need social engineering techniques or anything else to start the attack.
The company security team recommends installing the latest version on all sites. If administrators do not want to change all the php files, it is available a simple patch, which will close the security gap.
Vulnerability exists in the database abstraction API, which one of its purposes is to
"disinfects" them requests of the database, from this type of attacks.
The vulnerability was discovered by Sektion As, a German PHP security company hired to monitor the platform from an anonymous customer. The bug has been named in CVE-2014-3704.