Inicio / Alerta Temprana / Avisos Seguridad / Grave vulnerabilidad de inyección SQL en Drupal 7.x.

Grave vulnerabilidad de inyección SQL en Drupal 7.x.

Fecha de publicación: 
16/10/2014
Importancia: 
5 - Crítica
Recursos afectados: 

La vulnerabilidad afecta a las versiones de Drupal 7.x anteriores a 7.32.

Descripción: 

Se ha descubierto una vulnerabilidad en la API que verifica y parsea las consultas a la base de datos de Drupal.

Solución: 

Actualizar urgentemente a versión 7.32 de Drupal para corregir el problema. La actualización puede obtenerse en el siguiente enlace:

https://www.drupal.org/project/drupal/releases/7.32

En caso de imposibilidad actualizar inmediatamente a Drupal 7.32, se recomienda utilizar el parche temporal para el fichero database.inc que corrige la vulnerabilidad hasta que la actualización necesaria a Drupal 7.32 pueda ser acometida.
Este parche temporal puede obtenerse aquí:

https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

Se recomienda consultar los detalles del problema proporcionado por el fabricante indicado en la sección de Referencias.

Detalle: 

La API de Drupal que verifica la correcta construcción de las consultas hacia su base de datos con objeto de evitar inyecciones de código, tiene una vulnerabilidad que permite esquivar ese control. Esta vulnerabilidad utilizada bajo un contexto de consultas específico puede conseguir elevación de privilegios, ejecución arbitraria de código PHP y otros ataques.

Actualización 30-10-2014

Drupal ha publicado nueva información para sitios que hayan podido verse comprometidos con esta vulnerabilidad