Drupal SQLi solo nel modulo di accesso?

Naviga le tue risposte
3

Recentemente, CVE-2014-3704 era nelle notizie. Questa vulnerabilità consente agli aggressori di eseguire SQLi senza la necessità di accedere. Tuttavia, ho cercato gli exploit disponibili e ho trovato solo exploit che fanno uso del modulo di accesso. Ciò significa che quando l'accesso al campo di accesso è limitato (elenco IP bianco), non vi è alcun rischio (a condizione che non possano accedere al modulo di accesso? Oppure è possibile sfruttarlo anche su un altro componente Drupal ?

Qualche parte di pensieri sarebbe apprezzata!

    
posta f4der 03.11.2014 - 13:49
fonte

3 risposte

1

In base al advisor Drupal :

This vulnerability can be exploited by anonymous users.

Secondo questa risposta :

I can confirm, that this vulnerability will work with every Drupal 7.31 and lower site, doesn't matter which modules are active. Every drupal form could be used to exploit this vulnerability.

    
risposta data 04.11.2014 - 12:20
fonte
1

Tutto ciò di cui hai bisogno è una qualsiasi pagina del sito.

C'è un post sul blog di alcune prove avanzate -of-concept code dalla persona che ha originariamente trovato la vulnerabilità. Queste dimostrazioni di concetto mostrano:

  • Uso dei contenuti dei cookie per ottenere una sessione per un utente arbitrario.
  • Uso del modulo api in un cookie per eseguire php arbitrario (senza lasciare tracce nei log)

Non li ho testati da solo, ma ho un alto livello di sicurezza in cui avrebbero lavorato.

    
risposta data 05.02.2015 - 00:27
fonte
0

L'iniezione SQL richiedeva un modulo Drupal. Il modulo di accesso è onnipresente. Viene inserito nel sito Drupal per impostazione predefinita, quindi è più probabile che venga visualizzato nelle destinazioni.

Se c'era un altro modulo sul sito web, potrebbe essere usato anche per l'attacco.

    
risposta data 02.02.2015 - 20:27
fonte

Leggi altre domande sui tag

Ho bisogno di antivirus per questa installazione insolita - o solo per il firewall? MVC 5 e Multiple AntiForgeryTokens: Cosa sta succedendo?