شماره: IRCNE2014102345
تاريخ: 27/7/93
گروه امنيتي Drupal گزارش داده است كه نسخههايي از Drupal 7 تا پيش از 7.32 در برابر يك نقص امنيتي تزريق SQL بسيار حياتي آسيبپذير هستند. نسخه 7.32 اكنون براي پوشش دادن اين نقص امنيتي در دسترس قرار گرفته است و گروه Drupal به شكل جدي توصيه كرده است كه مديران Drupal 7 سايتهاي خود را فوراً بهروز رساني نمايند. Drupal يك سيستم مديريت محتواي مشهور است كه رايگان و متن باز است.
يك فرد مهاجم ميتواند از اين آسيبپذيري براي دستيابي به حق دسترسي بالاتر يا اجراي كد PHP دلخواه سوء استفاده كند. همچنين گفته ميشود كه حملات نامشخص ديگري نيز با استفاده از اين آسيبپذيري ممكن ميشوند. در هنگام افشاي اين آسيبپذيري هيچ سوء استفادهاي از آن شناسايي نشده است. چنين حملهاي ميتواند توسط يك كاربر ناشناس صورت پذيرد كه اين بدان معني است كه هيچ مهندسي اجتماعي يا كار ديگري براي آن مورد نياز نيست.
گروه Drupal توصيه كرده است كه سايتها آخرين نسخه اين سيستم را نصب نمايند، ولي يك اصلاحيه نيز براي كساني كه ترجيح ميدهند همچنان از نسخه فعلي خود استفاده كنند عرضه كرده است.
اين آسيبپذيري در API انتزاعي پايگاه داده وجود دارد، كه يكي از اهداف آن امن سازي درخواستهاي پايگاه داده عليه چنين حملاتي است.
آسيبپذيري مذكور توسط يك شركت آلماني امنيت PHP به نام سكشن انيس كشف شده است كه توسط يك مشتري ناشناس براي بررسي و مميزي Drupal به كار گرفته شده بود.
اين نقص امنيتي با شناسه CVE-2014-3704 شناخته ميشود.
- 6