Vulnerabilidades en DRUPAL : SQL Injection y Ejecución de archivos en forma arbitraria


Secunia.com ha informado de 2 vulnerabilidades que afectan al conocido CMS (Control Manager System) denominado DRUPAL





Las vulnerabilidades han sido catalogadas de "Moderadamente Criticas", estas pueden ejecutarse en forma remota, permitiendo la manipulación de la data y acceso al sistema comprometido.

Las dos vulnerabilidades pueden ser explotadas por personas maliciosas ejecutando SQL Injection y por usuarios maliciosos comprometiendo al sistema accediendo a los archivos.

1) Una entrada de datos con parámetros no especificados los cuales no son filtrados adecuadamente pueden manipular los queries del SQL. Esto permite que pueda manipular una cadena de datos en la sentencia del query e injectar valores SQL en forma arbitraria.

2) Permite acceso a archivos de directorios de configuración que pueden ser afectados arbitrariamente dentro de un directorio, ejecuntando un exploit en el directorio afectado.

Este tipo de vulnerabilidad requiere que el fichero " .htaccess" no se este usando para restringir el acceso a los directorios.

La vulenrabilidad afecta a versiones 4.6.6 y anteriores y en 4.7.0 y anteriores.

SOLUCIÓN:
Actualizar a la versión 4.6.7 or 4.7.1.
http://drupal.org/project

Fuente:
secunia.com



Otras noticias de interés:

Keylogger para Android basado en el movimiento del teléfono
Un grupo de investigadores de la Universidad del Estado de Pennsylvania e IBM han desarrollado una prueba de concepto que consiste en un keylogger que obtiene sus datos a partir de los sensores de movimiento presentes en cualquier dispositivo Android...
Una falla en Twitter deja a todos los usuarios sin seguidores y seguidos
Un bug descubierto por www.gizmodo.com que permitía forzar a cualquier persona a seguir a otra, ha hecho que Twitter coloque a todos los seguidores en cero momentáneamente mientras investigan el problema y corrigen lo ocurrido por los que abusaron ...
CAPTCHAS. ¿seguridad anti-spam del pasado?
Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es una prueba o reto que trata de determinar cuando un usuario es o no humano. Un ejemplo son las típicas imágenes de texto distorsionadas que se muestran en in...
Si quieres "Seguridad" usa Linux
Los pingüinos pueden ser excelentes perros guardianes, se afirma. Al menos, cuando son parte de un programa de computación. El sistema operativo Linux, cuya mascota es el pájaro símbolo de los hielos antárticos, es considerado relativamente segu...
Desbordamiento de búfer en Norton Personal Internet Firewall
Norton Personal Firewall y Norton Internet Security se ven afectados por una condición de desbordamiento de búfer que permitirá a un atacante la ejecución de código en el sistema afectado....
Guerra de chips entre Intel y AMD
En la unidad central de procesamiento, más popularmente conocida por su sigla en inglés CPU, se aloja un minúsculo chip llamado microprocesador, el cerebro de toda computadora. Sin él no existirían estas máquinas que han cambiado todo el mund...
Computación confiada
Una de las noticia más perturbadoras de los últimos días fue ver al presidente Chino, Hu Jintao, reuniéndose con el Sr. Bill Gates en la Mansión Gates, aún antes que con el Presidente Bush. Un sonriente Jintao mencionó como el usa el sistem...
Señal RCTV Intenational
Gracias a tvdoral.com hicimos un pequeño código para ver RCTV via Internet, para aquellos que no tienen tv por suscripción....
Seguridad en plataformas Java y .NET
Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamen...
Bill Gates y otros comunistas (Por Richard Stallman)
Hoy Microsoft es una megacorporación con miles de patentes. Microsoft dijo en la corte que el principal compeditor de MS Windows es Linux, refiriéndose al sistema operativo libre GNU/Linux. Documentos internos filtrados dicen que Microsoft intent...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arbitraria
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • drupal
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • forma
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • injection
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sql
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra