Разработчики платформы для управления сайтами (CMS) с открытым исходным кодом Drupal устранили уязвимость в своем программном продукте. Об этом говорится на сайте компании SektionEins, занимающейся информационной безопасностью – специалисты именно этой компании обнаружили и описали новую брешь.
Уязвимость была найдена экспертами SektionEins еще в середине сентября, информация о ней была передана разработчикам Drupal. Только после исправления бреши данные получили огласку.
Брешь позволяет неавторизованному пользователю с помощью специального запроса выполнить произвольные SQL-команды в базе данных веб-ресурса на платформе Drupal, пишет SecurityLab. Эксплуатация бреши позволяет злоумышленникам раскрыть пароль администратора.
Уязвимость опасна тем, что не оставляет следов в системе – выполненные с ее применением атаки не отражаются в логах. Кроме того, отключение сайта штатными средствами (переключение в режим технического обслуживания) не позволяет ограничить использование бреши, способной предоставлять удаленному пользователю прямой доступ к базе данных, что дополнительно повышает риск утечки информации.
Специалисты Drupal рекомендуют пользователям системы обновиться.
