Si fa critico il rischio SQL injection per Drupal
Il team di sviluppo di Drupal avverte gli amministratori dei siti Web basati sul popolare CMS di un perdurante rischio di compromissione in caso di mancato aggiornamento, una problematica connessa alla vulnerabilità di SQL injection CVE-2014-3704 e che necessità della immediata applicazione di una patch correttiva.
Gli attacchi automatici contro i siti basati su Drupal 7 non aggiornati a Drupal 7.32 sono cominciati praticamente subito, con i primi tentativi di compromissione iniziati appena 7 ore dopo l’annuncio dell’esistenza della vulnerabilità. Tutti i siti non patchati immediatamente vanno quindi considerati compromessi o ad altissimo rischio di compromissione.
Alla pericolosità della falla CVE-2014-3704, già classificata come critica per la relativa facilità con cui un malintenzionato potrebbe trarne vantaggio, si aggiunge quindi un rischio “sistemico” per la maggioranza dei siti basati su Drupal 7 – il 65% secondo W3Techs o addirittura l’84% secondo le statistiche di utilizzo di Drupal stesso.
Il numero di siti Web compromessi o esposti a rischio andrebbe quindi calcolato in almeno 12 milioni di unità, un numero che evoca misure drastiche per il rafforzamento della sicurezza di Drupal da parte degli sviluppatori.