Xakep #305. Многошаговые SQL-инъекции
Разработчики популярной системы управления контентом Drupal представили обновление, устраняющие опасные RCE-уязвимости (Highly Critical и Critical) в составе трех модулей. Суммарно данные модули установлены более чем на 10 000 сайтов.
RESTful Web Services: модуль для создания REST API. Используется на 5804 сайтах. Для обеспечения дополнительной функциональности RESTful Web Services позволяет модифицировать callback, что может привести к выполнению произвольного PHP-кода, при помощи отправки специально составленного запроса.
Уязвимы версии 7.x-2.x (вышедшие до 7.x-2.6) и 7.x-1.x (вышедшие до 7.x-1.7).
Coder: модуль применяется для анализа кода. В настоящее время установлен на 4951 сайте. Уязвимость связана с тем, что модуль неверно производит валидацию введенных пользователем данных в скриптах с расширением PHP. В итоге атакующий может поместить вредоносный запрос непосредственно в такой файл, после чего тот будет выполнен. Для эксплуатации бага даже не обязательно, чтобы Coder был включен.
Уязвимы версии 7.x-1.x (вышедшие ранее 7.x-1.3) и 7.x-2.x (вышедшие ранее 7.x-2.6).
Webform Multiple File Upload: модуль, способный принимать пачки файлов от посетителей сайта. На данный момент его используют 3076 ресурсов. RCE-баг позволяет использовать форму отправки файлов не совсем по назначению: в нее можно ввести значение, которое может спровоцировать выполнение произвольного кода на стороне сервера (в зависимости от доступных на сайте библиотек).
Уязвимы версии Webform Multiple File Upload (webform_multifile) 7.x-1.x (вышедшие ранее 7.x-1.4 a).