Вслед за уязвимостью в XML-RPC, недавно компанией Sektion Eins была найдена уязвимость, которой подвержены все версии 7 ветки. Она позволяет выполнить произвольный SQL-запрос в БД друпала не имея никаких прав в системе. Опасность определена как наивысшая. 15 октября вышло обновление ядра до версии 7.32, которое устраняет эту уязвимость. Разработчики настоятельно советуют обновить ядро немедленно. Обновление не займёт много времени, необходимо обновить только файл /includes/database/database.inc. Спасти сайты до обновления может только блокировка сайта, maintenance mode не поможет.
Уязвимость находилась в функции обработки значений для SQL-запроса. При обработке массива для SQL-функции IN предполагается, что это не ассоциативный массив, ключи участвуют в формировании имени placeholder-а. Если в функцию передать ассоциативный массив со специально сформированными ключами, то можно вмешаться в SQL-запрос.
В сети есть эксплоиты по изменению пароля для суперадмина системы (пользователя Drupal-а с ID = 1). Однако ничего не мешает переделать их под любого пользователя и систему. Надо немедленно обновляться и распространить эту информацию максимально широко.
Любопытная информация: в багтрекере друпала информация об этой уязвимости появилась более 11 месяцев назад, но до security team информация не дошла. Теперь разработчикам приходится разъяснять, почему так получилось и что они сделали, чтобы уменьшить вероятность повторения такой ситуации.
P.S.: Как подсказал Razunter в вышедшей 8.0.0-beta2 эта же уязвимость для 8 ветки тоже устранена.
Автор: CrazyRad