Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/10/2014
Greu vulnerabilitat d'injecció SQL en Drupal 7.x.
S’ha descobert una vulnerabilitat en l’API que verifica i analitza les consultes a la base de dades de Drupal.L’API de Drupal que verifica la correcta construcció de les consultes cap a la seua base de dades a fi d’evitar injeccions de codi, té una vulnerabilitat que permet esquivar eixe control. Esta vulnerabilitat utilitzada sota un context de consultes específic pot aconseguir elevació de privilegis, execució arbitrària de codi PHP i altres atacs.
Sistemes Afectats:La vulnerabilitat afecta el versions de Drupal 7.x anteriors a 7.32.
Referències:None
Solució:Actualitzar urgentment a versió 7.32 de Drupal per a corregir el problema. L’actualització pot obtindre’s en l’enllaç següent:
https://www.drupal.org/drupal-7.32-release-notesEn cas d’impossibilitat actualitzar immediatament a Drupal 7.32, es recomana utilitzar el pegat temporal per al fitxer database.inc que corregix la vulnerabilitat fins que l’actualització necessària a Drupal 7.32 puga ser escomesa.
Este pegat temporal pot obtindre’s ací:
Es recomana consultar els detalls del problema proporcionat pel fabricant indicat en la secció de referències.
SA-CORE-2014-005 - Drupal core - SQL injection