| CVE編號 | 尚無CVE編號 |
|---|---|
| 影響產品 | 所有安裝Drupal 7.31之前版本的系統平台 |
| 解決辦法 | 1.建議參考官網公告儘速更新至版本7.32。 2.若暫時無法升級,則建議先安裝 patch 修正 /includes/database/database.inc 檔案。 Patch: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch |
| 張貼日 | 2014-10-23 |
| 上稿單位 | TWCERT/CC |
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0026
1.Drupal是開放源碼的內容管理平台。Drupal 7.31之前版本存在SQL Injection弱點,可能會讓攻擊者不需要任何帳號與認證,即可透過發送特殊要求,執行遠端執行任意的SQL查詢,取得Drupal網站的管理者權限,甚至可在不留任何日誌的情況下執行程式。
2.此弱點已經有實作攻擊手法及工具出現,建議受影響之系統應儘速更新。