Drupal a rischio per una vulnerabilitā SQL injection
Una nuova vulnerabilità coinvolge Drupal, popolare CMS Open source, a un rischio di attacco particolarmente pericoloso vista la facilità con cui è possibile sfruttare la falla.
Il bug CVE-2014-3704, di tipo SQL injection, permette a un malintenzionato di iniettare codice maligno nelle query senza alcuna necessità di autenticazione sul sito preso di mira, arrivando infine a ottenere la possibilità di condurre nuovi attacchi come escalation di privilegi, esecuzione arbitraria di codice e altro ancora.
Ironia della sorte, il baco è stato identificato nel codice di una procedura progettata proprio per difendere Drupal dal rischio di SQL injection; a peggiorare la situazione c’è il fatto che la realizzazione di exploit non richiede preparazione di programmazione particolarmente elaborate.
Tutte le versioni di Drupal 7 sono vulnerabili e andrebbero aggiornate immediatamente alla versione 7.32 del CMS, spiegano i ricercatori di sicurezza, perché i circa 900.000 siti Web affetti dal baco corrono già adesso il rischio di essere attaccati.