Cảnh báo các trang web trên nền tảng Drupal tồn tại lỗ hổng SQL Injection

Drupal là một nền tảng phát triển phần mềm hướng mô-đun, một hệ quản trị nội dung miễn phí và mã nguồn mở phổ biến. Đội ngũ bảo mật Drupal cho biết các phiên bản Drupal 7 sớm hơn 7.32 đều có thể bị tổn thương trước lỗ hổng SQL Injection “cực kì nghiêm trọng”. Phiên bản 7.32 đã được khắc phục vấn đề đó, Drupal khuyến cáo quản trị viên sử dụng Drupal 7 nên cập nhật trang web của họ ngay lập tức.

Tin tặc có thể khai thác lỗ hổng này để đoạt quyền truy cập hay thực thi mã PHP tùy ý. Các cuộc tấn công kiểu khác cũng có thể xảy ra. Vào thời điểm lỗ hổng được phát hiện thì chưa phát hiện cuộc tấn công nào sử dụng lỗ hổng nguy hiểm này. Các cuộc tấn công có thể được kích hoạt từ người dùng ẩn danh, đồng nghĩa với việc không cần thiết sử dụng các kĩ thuật như social engineering để tấn công.

Đội ngũ Drupal khuyến cáo các trang web nên dùng phiên bản mới nhất, các bản vá cũng đã sẵn sàng cho bất cứ ai cần. Lỗ hổng tồn tại trong các API tương tác với cơ sở dữ liệu, một trong những mục đích của nó là giải quyết những yêu cầu tới cơ sở dữ liệu. Lỗ hổng được tìm thấy bởi Sektion Eins, một công ty bảo mật PHP của Đức được Drupal thuê kiểm tra với một khách hàng giấu tên.

Lỗ hổng được đặt mã CVE-2014-3704.

zdnet