Vulnerabilidad en API de Drupal para el saneamiento de consultas a la base de datos permite ejecución arbitraria de código SQL
La versión 7 de Drupal utiliza una API para la abstracción de una base de datos que se asegura que las consultas a la base de datos son sanitizadas para prevenir ataques por inyección de SQL.
La vulnerabilidad en esta API permite a un atacante enviar peticiones especialmente diseñadas para conseguir la ejecución arbitraria de SQL.
Esta vulnerabilidad puede ser explotada por usuarios anónimos.
Dependiendo en el contenido de las peticiones, el resultado de explotar esta vulnerabilidad puede resultar en escalamiento de privilegios, ejecución arbitraria de PHP, entre otros ataques.
Actualizar a Drupal core 7.32
Si no es posible realizar la actualización se puede remediar la vulnerabilidad aplicando un parche al archivo database.inc de Drupal mientras se realiza la actualización a Drupal 7.32
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT