Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/10/2014
Udviklerne af CMS'et Drupal har lukket et alvorligt sikkerhedshul, der lader angribere afvikle SQL-kommandoer.En angriber kan udnytte sårbarheden uden at være logget ind på det sårbare system.
Der er tale om en sårbarhed af typen SQL-indsætning. Ironisk nok findes den i et modul, der netop har til formål at forhindre SQL-indsætning.
Fejlen er rettet i Drupal 7.32.
Sikkerhedsfirmaet Sucuri har set kodeeksempler, der udnytter sårbarheden, på flere hackerfora. Derfor venter de, at angreb snart vil følge.
Anbefaling
Brugere af Drupal 7.x bør hurtigst muligt opgradere til version 7.32. Alternativt kan de installere en patch til filen database.inc.