Se ha descubierto una vulnerabilidad en la API que
verifica y parsea las consultas a la base de datos de Drupal y ha sido
catlogada de Importancia: 5 - Crítica
Recursos afectados
·
La
vulnerabilidad afecta al versiones de Drupal 7.x anteriores a 7.32.
Detalle e impacto de la vulnerabilidad
· La
API de Drupal que verifica la correcta construción de las consultas hacia su
base de datos con objeto de evitar inyecciones de código, tiene una
vulnerabilidad que permite esquivar ese control. Esta vulnerabilidad utilizada
bajo un contexto de consultas específico puede conseguir elevación de
privilegios, ejecución arbitraria de código PHP y otros ataques.
Recomendación
·
Actualizar
urgentemente a versión 7.32 de Drupal para corregir el problema. La
actualización puede obtenerse en el siguiente enlace: https://www.drupal.org/drupal-7.32-release-notes
· En
caso de imposibilidad actualizar inmediatamente a Drupal 7.32, se recomienda
utilizar el parche temporal para el fichero database.inc que corrige la
vulnerabilidad hasta que la actualización necesaria a Drupal 7.32 pueda ser
acometida.
· Este
parche temporal puede obtenerse aqui: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
·
Se
recomienda consultar los detalles del problema proporcionado por el fabricante
indicado en la sección siguiente de
"más información"
Más
información
·
SA-CORE-2014-005 - Drupal core - SQL injection https://www.drupal.org/SA-CORE-2014-005
Fuente: INTECO
