В Drupal обнаружена критическая уязвимость
В популярной CMS Drupal обнаружена критическая уязвимость, позволяющая осуществить подстановку SQL-кода. Отправив специально сформированный запрос к Drupal-сайту, даже неавторизированный пользователь может получить привилегии администратора и выполнить на сервере произвольный код.
Один из пользователей Drupal обратился к специалистам компании Sektion Eins с просьбой провести аудит исходного кода этой CMS. В результате анализа и была обнаружена уязвимость. Уязвимости подвержены все выпуски Drupal 7. Даже перевод сайта в режим обслуживания (maintenance mode) не закрывает уязвимости, чтобы не дать злоумышленнику возможности воспользоваться ей, необходимо полностью запретить выполнение скриптов на сайте.
Разработчики Drupal присвоили этой уязвимости наивысший уровень опасности (Highly critical) и уже выпустили устраняющее её обновление — 7.32. Всем пользователям Drupal настоятельно рекомендуется обновиться до последней версии. Для обновления можно воспользоваться штатными средствами Drupal, нашим клиентам мы можем помочь с обновлением в рамках услуги Дополнительные работы по сайту.