Drupal Database Abstraction API SQL注入漏洞

发布日期：2014-10-16
更新日期：2014-10-17受影响系统：
Drupal Drupal 7.x
描述：
CVE（CAN） ID: CVE-2014-3704 Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。Drupal 7.32之前版本对数据库摘要API接收到的某些输入没有在"Database::expandArguments（）" 方法（includes/database/database.inc）内有效过滤，这可导致注入任意SQL代码，操纵SQL查询。<*来源：Stefan Horst
*>建议：
厂商补丁：Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://drupal.org/node/ SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005 Stefan Horst:
https://www.sektioneins.de/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.htmlUbuntu 14.04 LTS 下安装Drupal 7 http://www.linuxidc.com/Linux/2014-04/100895.htmDrupal 的详细介绍：请点这里
Drupal 的下载地址：请点这里