阅读时间: 1 分钟
Drupal发布了一个安全公告,以解决一个应用程序接口(API)漏洞,该漏洞可能允许攻击者在受影响的系统上执行任意SQL命令。 这可能导致各种攻击,包括特权升级和任意PHP执行。
根据w3techs.com,Drupal是网站上使用的第三大最受欢迎的内容管理系统。
Drupal严重错误的特点是易于利用,并且会影响7之前的所有Drupal核心7.32.x版本。 根据Drupal所说,此漏洞为攻击者提供了一种无需利用帐户或无需获取帐户所有者的机密信息和凭证即可创建利用程序的方式。
具有讽刺意味的是,该漏洞是在数据库抽象API中引入的,用于确保对针对数据库执行的查询进行清理以防止SQL注入攻击。
Drupal安全团队将此称为Drupal版本7中引入的高度严重的SQL注入错误,但报告说它已在7.32版中得到修复。 该漏洞已被黑客利用。
敦促维护Drupal网站的管理员尽快升级到最新版本。