15 октября движок Drupal выпустил экстренное обновление 7.32, устраняющее выявленные уязвимости в системе безопасности. SStudio уже обновил все сайты клиентов, заключивших договоры на техническое обслуживание. Крайне рекомендуется тем, кто не заключил, - сделать это обновление самостоятельно.
Выявленная уязвимость в API Drupal позволяет злоумышленнику послать специально созданные запросы, приводящие в результате к выполнению произвольного SQL. В зависимости от содержания запросов это может привести к повышению привилегий, выполнению произвольного PHP или другим атакам.
Эта уязвимость может быть использована даже анонимными пользователями.
На сегодня пока неизвестно ни одного случая взлома сайтов при помощи этой уязвимости, либо созданных эксплойтов для уязвимости. Но, в отличие от типичных рекомендаций по безопасности, выпущенных для Drupal, природа этой уязвимости предоставляет возможность злоумышленнику создать эксплойт без необходимости создания аккаунта, подвергая риску конфиденциальную информацию, и имея возможность самовольно сменить статус любого пользователя на администратора.
Поэтому специалисты SStudio настоятельно рекомендуют немедленно обновить все сайты на Drupal 7.