Как сообщил представитель SektionEins Стефан Хорст (Stefan Horst), уязвимость содержится в версиях Drupal начиная с 7.0 и заканчивая 7.31 включительно.
Специалисты SektionEins сообщили сообществу разработчиков Drupal об уязвимости месяц назад, но обнародовали информацию о ней в открытом доступе только сейчас, после того, как был выпущен патч.
Опасность уязвимости заключается в том, что она не оставляет никаких следов в системе — выполненные таким образом запросы не отражаются в логах. Кроме того, отключение сайта штатными средствами Drupal (режим техобслуживания) не ограничивает использование вышеописанного бага. Злоумышленник получает прямой доступ к базе данных, из-за чего может произойти утечка информации, пояснили CNews в российской компании Digital Security.
В России платформой Drupal пользуются госсектор и ряд российских банков, добавили представители Digital Security. Но в компании не смогли уточнить, в каких именно.
По сведениям официального ресурса drupal.org, в России на платформе Drupal основаны сайты Федерального агентства по делам Содружества Независимых Государств, Федеральной службы по контролю за оборотом наркотиков, Федеральной службы по надзору в сфере природопользования и др. За рубежом Drupal также популярна в госсекторе.
Drupal — одна из наиболее популярных CMS-платформ, на основе которой работают миллионы веб-сайтов. Ее развитием и поддержкой занимается открытое сообщество разработчиков. Конкурирующими платформами являются Wordpress, Joomla, Bitrix.
Это не первая крупная уязвимость, обнаруженная в Drupal за последние несколько месяцев. В августе 2014 г. специалист из Salesforce.com Нир Гольдшлегер (Nir Goldshlager) обнаружил ошибку, позволяющую легко проводить атаки типа DoS («отказ в обслуживании») на серверы, на которых размещены сайты на Drupal или Wordpress. Позже эта ошибка также была устранена.