• Asesor ID: drupal-SA-CORE-2014-005
• Proyecto: núcleo de Drupal
• Versión: 7.x
• Fecha: 2014-Oct-15
• Riesgo de seguridad: 25/25 (muy crítico) AC: Ninguno / R: Ninguno / CI: Todos / II: Todos / E: Exploit / TD: Todos
• Vulnerabilidad: SQL Injection

Descripción

Drupal 7 incluye una abstracción de base de datos API para asegurar que las consultas ejecutadas en contra de la base de datos son desinfectados para prevenir ataques de inyección SQL.

Una vulnerabilidad en esta API permite a un atacante enviar solicitudes especialmente diseñadas resultantes en la ejecución de SQL arbitrario. En función del contenido de las solicitudes que esto puede conducir a una escalada de privilegios, la ejecución de PHP arbitrario, u otros ataques.

Esta vulnerabilidad puede ser explotada por usuarios anónimos.

Identificador (s) CVE emitido

• CVE-2014-3704

Las versiones afectadas

• Versiones de Drupal 7.x núcleo anteriores a 7.32.

Solución

Instale la última versión:

• Si utiliza Drupal 7.x, actualizar a Drupal core 7.32 .

Si usted es incapaz de actualizar a Drupal 7.32 se puede aplicar este parche al archivo database.inc de Drupal para arreglar la vulnerabilidad hasta el momento en que son capaces de actualizar completamente a Drupal 7.32.

Ver también el núcleo de Drupal página del proyecto.

Reportado por

• Stefan Horst

Corregido por

• Stefan Horst
• Greg Knaddison del Equipo de Seguridad de Drupal
• Lee Rowlands del Equipo de Seguridad de Drupal
• David Rothstein del Equipo de Seguridad de Drupal
• Klaus más pura del Equipo de Seguridad de Drupal

Coordinado por

• El equipo de seguridad de Drupal

Contacto y más información

Hemos preparado un FAQ en esta versión. Lea más en https://www.drupal.org/node/2357241 .

El equipo de seguridad de Drupal puede ser alcanzado en la seguridad en drupal.org oa través del formulario de contacto en 
https://www.drupal.org/contact .