Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/10/2014
Grave vulnerabilidad de inyección SQL en Drupal 7.x.
Se ha descubierto una vulnerabilidad en la API que verifica y parsea las consultas a la base de datos de Drupal.La API de Drupal que verifica la correcta construción de las consultas hacia su base de datos con objeto de evitar inyecciones de código, tiene una vulnerabilidad que permite esquivar ese control. Esta vulnerabilidad utilizada bajo un contexto de consultas específico puede conseguir elevación de privilegios, ejecución arbitraria de código PHP y otros ataques.
Sistemas Afectados:La vulnerabilidad afecta al versiones de Drupal 7.x anteriores a 7.32.
Referencias:None
Solución:Actualizar urgentemente a versión 7.32 de Drupal para corregir el problema. La actualización puede obtenerse en el siguiente enlace:
https://www.drupal.org/drupal-7.32-release-notesEn caso de imposibilidad actualizar inmediatamente a Drupal 7.32, se recomienda utilizar el parche temporal para el fichero database.inc que corrige la vulnerabilidad hasta que la actualización necesaria a Drupal 7.32 pueda ser acometida.
Este parche temporal puede obtenerse aqui:
Se recomienda consultar los detalles del problema proporcionado por el fabricante indicado en la sección de Referencias.
SA-CORE-2014-005 - Drupal core - SQL injection