Обнаружена и устранена уязвимость CMS для госсайтов РФ

Специалисты компании SektionEins устранили критическую уязвимость в CMS-платформе с открытым исходным кодом Drupal.

В России эта CMS широко используется в банковских организациях и в госсекторе, таким образом сообщение о уязвимости стало тревожным сигналом к скорейшему устранению проблемы.

Суть уязвимости заключалась в том, что злоумышленник мог без каких-либо прав выполнить произвольный запрос к базе данных SQL сайта, базирующегося на Drupal. Опасность заключалась еще и в том, что выполненные таким образом запросы не отражались в логах, что делало возможные утечки информации весьма вероятными.

Как сообщил представитель SektionEins Стефан Хорст, уязвимость содержалась в версиях Drupal начиная с 7.0 и заканчивая 7.31 включительно.

Специалисты SektionEins сообщили сообществу разработчиков Drupal об уязвимости месяц назад, но обнародовали информацию о ней в открытом доступе только сейчас, после того, как был выпущен патч.

По сведениям официального ресурса drupal.org, в России на платформе Drupal основаны сайты Федерального агентства по делам Содружества Независимых Государств, Федеральной службы по контролю за оборотом наркотиков, Федеральной службы по надзору в сфере природопользования и др.

За рубежом Drupal также популярна в госсекторе.

Источник: Cnews.ru