Drupal揭露严重漏洞

2014/10/21

Drupal发布了一项安全公告来解决可允许攻击者在受影响的系统上执行任意SQL命令的应用程序接口(API)漏洞。该漏洞导致各种攻击,包括全县提升和执行任意PHP代码。

据w3techs.com,Drupal是在网站上第三个最受欢迎的内容管理系统。

Drupal的严重漏洞已经被定性为容易利用和可以影响所有的7.32之前的Drupal核心7.x版本。据Drupal,这个漏洞让攻击者可以在不需账号或账户持有人的机密信息和凭据的情况下创建漏洞。

讽刺的是,该漏洞原本是被引进数据库抽象API中,用来确保在数据库中执行的查询得到净化以防止SQL注入攻击。

Drupal安全团队指该漏洞在Drupal7版本中被为非常关键SQL注入漏洞,但是该报告也指出已经推出了7.32版本,修复了该漏洞。该漏洞被发现遭黑客利用。

维护Drupal网站的管理员被敦促尽快升级到最新版本。

Tags:

Write a comment

Name
Comment