เดือนก่อนหน้านี้ Drupal ได้ออกแพทซ์ช่องโหว่ SQL injection (CVE-2014-3704) ที่มีอยู่ใน Drupal 7.x ขึ้นไป และเมื่อเร็วๆ นี้ได้ปล่อยแพทซ์เวอร์ชั่น 7.32 ออกมาแล้ว
ผู้โจมตีใช้ประโยชน์จากช่องโหว่ดังกล่าว ถ่ายโอนฐานข้อมูลของเว็บไซต์เป้าหมาย โดยไม่ต้องมีบัญชีผู้ใช้หรือหลอกผู้ใช้เปิดเผยข้อมูลส่วนตัว แต่สื่งที่น่าเป็นห่วงคือ ผู้โจมตีอาจสร้าง Backdoor ในระบบ ซึ่งจะช่วยให้พวกเขาควบคุมเป้าหมาย และควบคุมบริการอื่นๆ บนเซิร์ฟเวอร์ได้
Drupal ออกคำเตือนว่า ผู้ใช้ต้องตรวจสอบระบบอย่างละเอียด แม้ว่า Drupal จะออกแพทช์แล้ว เพราะเว็บไซต์ที่ถูกบุกรุกจะมีความเสี่ยงที่ร้ายแรงได้
ที่มา : securityaffairs
Leave a comment!
You must be logged in to post a comment.