Критическая уязвимость в Drupal 7
15 октября вышло обновление ядра до версии 7.32, которое устраняет уязвимость, позволяющую выполнение инъекции SQL до прохождения авторизации, вследствие чего возможно выполнение произвольных запросов к базе без предоставления каких-либо учетных данных.
Для закрытия уязвимости достаточно заменить только файл /includes/database/database.inc. До обновления уязвимость сохраняется даже в режиме обслуживания.
Для данной уязвимости уже есть рабочие эксплоиты.
Drupal — это популярная открытая система управления содержимым (CMS), установленная на миллионах сайтов в Интернете. Уязвимость была обнаружена во время аудита кода компанией Sektion Eins.
>>> Обсуждение на хабре
cms, drupal, sql injection
