‫ نقص امنيتي تزريق SQL در سايت‌هاي Drupal

شماره: IRCNE2014102345
تاريخ: 27/7/93
 
گروه امنيتي Drupal گزارش داده است كه نسخه‌هايي از Drupal 7 تا پيش از 7.32 در برابر يك نقص امنيتي تزريق SQL بسيار حياتي آسيب‌پذير هستند. نسخه 7.32 اكنون براي پوشش دادن اين نقص امنيتي در دسترس قرار گرفته است و گروه Drupal به شكل جدي توصيه كرده است كه مديران Drupal 7 سايت‌هاي خود را فوراً به‌روز رساني نمايند. Drupal يك سيستم مديريت محتواي مشهور است كه رايگان و متن باز است.
يك فرد مهاجم مي‌تواند از اين آسيب‌پذيري براي دستيابي به حق دسترسي بالاتر يا اجراي كد PHP دلخواه سوء استفاده كند. همچنين گفته مي‌شود كه حملات نامشخص ديگري نيز با استفاده از اين آسيب‌پذيري ممكن مي‌شوند. در هنگام افشاي اين آسيب‌پذيري هيچ سوء استفاده‌اي از آن شناسايي نشده است. چنين حمله‌اي مي‌تواند توسط يك كاربر ناشناس صورت پذيرد كه اين بدان معني است كه هيچ مهندسي اجتماعي يا كار ديگري براي آن مورد نياز نيست.
گروه Drupal توصيه كرده است كه سايت‌ها آخرين نسخه اين سيستم را نصب نمايند، ولي يك اصلاحيه نيز براي كساني كه ترجيح مي‌دهند همچنان از نسخه فعلي خود استفاده كنند عرضه كرده است.
اين آسيب‌پذيري در API انتزاعي پايگاه داده وجود دارد، كه يكي از اهداف آن امن سازي درخواست‌هاي پايگاه داده عليه چنين حملاتي است.
آسيب‌پذيري مذكور توسط يك شركت آلماني امنيت PHP به نام سكشن انيس كشف شده است كه توسط يك مشتري ناشناس براي بررسي و مميزي Drupal به كار گرفته شده بود.
اين نقص امنيتي با شناسه CVE-2014-3704 شناخته مي‌شود.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 مهر 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0