זמן קריאה: 1 דקה
דרופל פרסמה ייעוץ אבטחה לטיפול בפגיעות ממשק יישומי ממשק (API) שעשויה לאפשר לתוקף לבצע פקודות SQL שרירותיות במערכת מושפעת. זה יכול להוביל להתקפות שונות, כולל הסלמת הרשאות וביצוע שרירותי של PHP.
דרופל היא מערכת ניהול התוכן השלישית הפופולרית ביותר המשמשת באתרי אינטרנט, על פי w3techs.com.
הבאג הקריטי של דרופל התאפיין לניצול בקלות ומשפיע על כל גרסאות ליבת 7.x של דרופל לפני 7.32. לדברי דרופל, פגיעות זו מספקת דרך לתוקף ליצור נצלנות מבלי להזדקק לחשבון או צורך להשיג מידע וסודיות חסויים של בעל חשבון.
במקרה של אירוניה רבה, הפגיעות הוצגה בממשק ה- API להפשטת מסדי נתונים המשמש כדי להבטיח כי שאילתות המבוצעות כנגד מסד הנתונים מטופחות כדי למנוע התקפות הזרקת SQL.
צוות האבטחה של דרופל מתייחס לכך כאל באג הזרקת SQL קריטי שהוצג בדרופל גרסה 7, אך מדווח שהוא תוקן כבר בגרסה 7.32 זמינה כעת. הבאג נצפה מנוצל על ידי האקרים.
מנהלים שמתחזקים אתרי דרופל מוזמנים לשדרג לגרסה העדכנית ביותר בהקדם האפשרי.
