Drupal ha parchado una vulnerabilidad crítica de inyección de SQL en la versión 7.x de su sistema de gestión de contenido que puede permitir la ejecución de código arbitrariamente. 

La falla radica en una API que está especialmente diseñada para ayudar a prevenir ataques de inyección SQL.

"Drupal 7 incluye una abstracción de la base de datos de la API para asegurar que las consultas ejecutadas en contra de la base de datos sean sanitizadas para prevenir ataques de injección de SQL", dicen las recomendaciones de seguridad de Drupal.

 "Una vulnerabilidad en esta API permite a un atacante enviar solicitudes especialmente diseñadas resultando en ejecuciones arbitrarias de SQL. Dependiendo del contenido de las peticiones, éstas pueden conducir a escalar privilegios, a la ejecución arbitraria de código PHP o a otros ataques."

La vulnerabilidad puede ser explotada por cualquier visitante a la página sin necesidad de autenticación. El equipo de seguridad de Drupal recomienda a los usuarios que actualicen sus instalaciones tan pronto como sea posible a la versión 7.32. Drupal es uno de los paquetes CMS (Content Management System) más populares, es usado por propietarios de sitios y se encuentra en un gran número de lugares, desde la gama más baja hasta la más alta.

"Aunque no hay exploits en uso conocidos en este momento, los sitios con Drupal 7 están expuestos a esta vulnerabilidad hasta que se hayan actualizado. A diferencia de los avisos de seguridad típicos liberados por Drupal, la naturaleza de esta vulnerabilidad permite a un atacante crear un exploit sin la necesidad de una cuenta o engañar a alguien exponiendo información condifencial", dijo Drupal en sus recomendaciones.