Ο πυρήνας του Drupal 7 είναι ευάλωτος σε μια “Highly Critical” (όπως τη χαρακτηρίζουν οι προγραμματιστές) ευπάθεια που επιτρέπει σε έναν εισβολέα να αποκτήσει πρόσβαση στην ιστοσελίδα χρησιμοποιώντας SQL injection.
Η ομάδα ασφαλείας της Drupal αναφέρει ότι οι εκδόσεις του λογισμικού Drupal 7 πριν από την έκδοση 7.32 είναι ευάλωτες σε μια υψηλής κρισιμότητας ευπάθεια που επιτρέπει SQL injections. Η έκδοση 7.32 που κυκλοφόρησε άμεσα είναι διαθέσιμη για την αντιμετώπιση του bug και η ομάδα του CMS συνιστά σε όλους τους διαχειριστές του συγκεκριμένου CMS να ενημερώσουν τις ιστοσελίδες τους άμεσα. Η πλατφόρμα είναι ένα δημοφιλές σύστημα διαχείρισης περιεχομένου (CMS ή Content Management System) τα οποία είναι συνήθως είναι διαθέσιμα δωρεάν και είναι ανοικτού κώδικα.
Ένας εισβολέας που θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια, θα μπορούσε να αποκτήσει προνόμια διαχειριστή προνομίων ή να εκτελέσει αυθαίρετο κώδικα PHP. Η επίθεση μπορεί να αρχίσει από έναν ανώνυμο χρήστη, πράγμα που σημαίνει ότι δεν χρειάζονται τεχνικές social engineering ή κάτι άλλο για να αρχίσει η επίθεση.
Η ομάδα ασφαλείας της εταιρείας συνιστά σε όλα τα sites να εγκαταστήσουν την τελευταία έκδοση. Αν οι διαχειριστές δεν θέλουν να αλλάξουν όλα τα php, αρχεία, υπάρχει διαθέσιμο ένα απλό patch, που θα κλείσει το κενό ασφαλείας.
Η ευπάθεια υπάρχει στο database abstraction API, που ένας από τους σκοπούς του είναι να
“απολυμαίνει” τα αιτήματα της βάσης δεδομένων, από αυτό το είδος των επιθέσεων.
Η ευπάθεια ανακαλύφθηκε από την Sektion Eins, μια γερμανική εταιρεία ασφαλείας PHP που είχε προσληφθεί για να ελέγξει την πλατφόρμα από έναν ανώνυμο πελάτη. Το bug έχει ονομαστεί σε CVE-2014-3704.
