Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Drupal a rischio per una SQL injection

Link copiato negli appunti

Una nuova vulnerabilità coinvolge Drupal, popolare Content Management System (CMS) per la realizzazione di siti dinamici che porge il fianco a un rischio di attacco particolarmente pericoloso vista la facilità con cui è possibile sfruttare la falla.

Il bug CVE-2014-3704, di tipo SQL injection, permette a un malintenzionato di iniettare query SQL arbitrarie senza alcuna necessità di autenticazione sul sito preso di mira, arrivando infine a ottenere la possibilità di condurre nuovi attacchi come escalation di privilegi, esecuzione arbitraria di codice PHP e altro ancora.

Ironia della sorte, il baco è stato identificato nel codice di una API progettata proprio per difendere Drupal dal rischio di SQL injection; a peggiorare la situazione c’è il fatto che la realizzazione di exploit non richiede skill di programmazione particolarmente elaborate.

Tutte le versioni di Drupal 7 sono vulnerabili e andrebbero aggiornate immediatamente alla versione 7.32 del CMS, spiegano i ricercatori di sicurezza, perché i circa 900.000 siti Web affetti dal baco corrono già adesso il rischio di essere attaccati.

Via | The Register

Ti consigliamo anche