1. Descripción

   La versión 7 de Drupal utiliza una API para la abstracción de una base de datos que se asegura que las consultas a la base de datos son sanitizadas para prevenir ataques por inyección de SQL.

   La vulnerabilidad en esta API permite a un atacante enviar peticiones especialmente diseñadas para conseguir la ejecución arbitraria de SQL.

   Esta vulnerabilidad puede ser explotada por usuarios anónimos.

2. Impacto

   Dependiendo en el contenido de las peticiones, el resultado de explotar esta vulnerabilidad puede resultar en escalamiento de privilegios, ejecución arbitraria de PHP, entre otros ataques.

3. Solución

   Actualizar a Drupal core 7.32

   
   Si no es posible realizar la actualización se puede remediar la vulnerabilidad aplicando un parche al archivo database.inc de Drupal mientras se realiza la actualización a Drupal 7.32

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
• Demian Roberto Garcia Velazquez (dgarcia at seguridad dot unam dot mx)