زمان خواندن: 1 دقیقه
دروپال یک توصیه امنیتی برای رفع آسیبپذیری رابط برنامه کاربردی (API) منتشر کرده است که میتواند به مهاجم اجازه دهد دستورات SQL دلخواه را روی یک سیستم آسیبدیده اجرا کند. این می تواند منجر به حملات مختلفی از جمله افزایش امتیازات و اجرای دلخواه PHP شود.
به گفته w3techs.com، دروپال سومین سیستم مدیریت محتوای محبوبی است که در وب سایت ها استفاده می شود.
اشکال حیاتی دروپال به عنوان به راحتی قابل بهره برداری شناخته شده است و تمامی نسخه های هسته 7.x دروپال قبل از 7.32 را تحت تأثیر قرار می دهد. به گفته دروپال، این آسیبپذیری راهی را برای مهاجم فراهم میکند تا بدون نیاز به حساب کاربری یا نیاز به دریافت اطلاعات محرمانه و اعتبار یک دارنده حساب، یک اکسپلویت ایجاد کند.
در یک نمونه طنز بزرگ، این آسیبپذیری در API انتزاعی پایگاه داده معرفی شد که برای اطمینان از اینکه کوئریهای اجرا شده در برابر پایگاه داده برای جلوگیری از حملات تزریق SQL پاکسازی میشوند، استفاده میشود.
تیم امنیتی دروپال از این به عنوان یک باگ بسیار مهم تزریق SQL معرفی شده در نسخه 7 دروپال یاد می کند، اما گزارش می دهد که قبلاً در نسخه 7.32 رفع شده است که اکنون در دسترس است. مشاهده شده است که این اشکال توسط هکرها مورد سوء استفاده قرار گرفته است.
از مدیرانی که سایتهای دروپال را نگهداری میکنند درخواست میشود تا در اسرع وقت به جدیدترین نسخه ارتقا دهند.
آزمایش رایگان را شروع کنید کارت امتیازی امنیتی فوری خود را به صورت رایگان دریافت کنید