Разработчики Drupal выпустили исправления для устранения критической уязвимости

Создатели платформы с открытым кодом Drupal, предназначенной для управления web-сайтами, устранили критическую уязвимость в своем программном продукте, сообщает издание CNews. Брешь позволяет неавторизованному пользователю с помощью специального запроса выполнить произвольные SQL-команды в базе данных web-ресурса на платформе Drupal. Эксплуатация бреши позволяет злоумышленникам раскрыть пароль администратора.

Для устранения уязвимости, содержащейся в версиях Drupal с 7.0 по 7.31, разработчики Drupal рекомендуют пользователям обновить систему управления контентом до версии 7.32.

Уязвимость опасна тем, что не оставляет следов в системе – выполненные с ее применением атаки не отражаются в логах. Кроме того, отключение сайта штатными средствами (переключение в режим технического обслуживания) не позволяет ограничить использование бреши, способной предоставлять удаленному пользователю прямой доступ к базе данных, что дополнительно повышает риск утечки информации.

В августе этого года ИБ-эксперт Нир Голдшлагер Nir (Goldshlager) обнаружил в платформе Drupal уязвимость, позволявшую выполнять DoS-атаки на серверы, на которых размещены сайты, работающие на Drupal или Wordpress. Эта уязвимость также была устранена компанией-разработчиком.