Drupal 7.31版本爆严重SQL注入漏洞

drupalgeddon_small

发布时间:2014/10/15

影响范围:Drupal > = 7.0 < = 7.31

严重程度:完整的SQL注入,从而导致总控制和网站的代码执行。

风险:高危

厂商反馈:Drupal 7.32已修复

作者:Stefan Horst [stefan.horst[at]sektioneins.de]

Drupal是一套开源的内容管理平台,拥有多种功能,可以用来建设从个人网站到大型社区网站。在代码审计时发现Drupal核心SQL查询的程序存在SQL注入漏洞.这个漏洞使攻击者可以完全控制所有的Drupal网站(权限),他甚至可以毫不留痕迹的执行任意PHP代码.

修复方法:

升级到Drupal 7.32版本。

POC:http://pastebin.com/F2Dk9LbX

更多信息:

https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html

https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html

http://drops.wooyun.org/papers/3197


发表评论

(必填)

(必填)

(以便回访)