- CORREO: info@fruteroloco.es
- FRUTEROLOCO : TIPS Linux, Macos, Windows ....
SA-CORE-2014-005 - núcleo de Drupal - inyección SQL
Desde hace ya unos días me salto la alarma en mi email de esta vulnerabilidad y por dejarlo nos entro.
IMAGEN CON USUARIO AÑADIDO drupaldev Y ROL megauser CREADO EN UNA WEB DRUPAL CON VULNERABILIDAD:
Solución y detalles:
SA-CORE-2014-005 - núcleo de Drupal - inyección SQL
- Asesor ID: drupal-SA-CORE-2014-005
- Proyecto: núcleo de Drupal
- Versión: 7.x
- Fecha: 2014-Oct-15
- Riesgo de seguridad: 25/25 (muy crítico) AC: Ninguno / R: Ninguno / CI: Todos / II: Todos / E: Exploit / TD: Todos
- Vulnerabilidad: SQL Injection
Descripción
Drupal 7 incluye una abstracción de base de datos API para asegurar que las consultas ejecutadas en contra de la base de datos son desinfectados para prevenir ataques de inyección SQL.
Una vulnerabilidad en esta API permite a un atacante enviar solicitudes especialmente diseñadas resultantes en la ejecución de SQL arbitrario. En función del contenido de las solicitudes que esto puede conducir a una escalada de privilegios, la ejecución de PHP arbitrario, u otros ataques.
Esta vulnerabilidad puede ser explotada por usuarios anónimos.
Identificador (s) CVE emitido
- CVE-2014-3704
Las versiones afectadas
- Versiones de Drupal 7.x núcleo anteriores a 7.32.
Solución
Instale la última versión:
- Si utiliza Drupal 7.x, actualizar a Drupal core 7.32 .
Si usted es incapaz de actualizar a Drupal 7.32 se puede aplicar este parche al archivo database.inc de Drupal para arreglar la vulnerabilidad hasta el momento en que son capaces de actualizar completamente a Drupal 7.32.
Ver también el núcleo de Drupal página del proyecto.
Reportado por
- Stefan Horst
Corregido por
- Stefan Horst
- Greg Knaddison del Equipo de Seguridad de Drupal
- Lee Rowlands del Equipo de Seguridad de Drupal
- David Rothstein del Equipo de Seguridad de Drupal
- Klaus más pura del Equipo de Seguridad de Drupal
Coordinado por
Contacto y más información
Hemos preparado un FAQ en esta versión. Lea más en https://www.drupal.org/node/2357241 .
El equipo de seguridad de Drupal puede ser alcanzado en la seguridad en drupal.org oa través del formulario de contacto en
https://www.drupal.org/contact .