Una nuova vulnerabilità coinvolge Drupal, popolare Content Management System (CMS) per la realizzazione di siti dinamici che porge il fianco a un rischio di attacco particolarmente pericoloso vista la facilità con cui è possibile sfruttare la falla.
Il bug CVE-2014-3704, di tipo SQL injection, permette a un malintenzionato di iniettare query SQL arbitrarie senza alcuna necessità di autenticazione sul sito preso di mira, arrivando infine a ottenere la possibilità di condurre nuovi attacchi come escalation di privilegi, esecuzione arbitraria di codice PHP e altro ancora.
Ironia della sorte, il baco è stato identificato nel codice di una API progettata proprio per difendere Drupal dal rischio di SQL injection; a peggiorare la situazione c’è il fatto che la realizzazione di exploit non richiede skill di programmazione particolarmente elaborate.
Tutte le versioni di Drupal 7 sono vulnerabili e andrebbero aggiornate immediatamente alla versione 7.32 del CMS, spiegano i ricercatori di sicurezza, perché i circa 900.000 siti Web affetti dal baco corrono già adesso il rischio di essere attaccati.
Via | The Register
/https://www.html.it/app/uploads/2024/03/WordPress.png)
/https://www.html.it/app/uploads/2024/03/domestika.jpg)
/https://www.html.it/app/uploads/2023/12/wordpress.png)
/https://www.html.it/app/uploads/2024/02/WP65.jpg)