Drupal 7 - CVE-2014-3704 - POC
Drupal é um CMS - Content Management System open source, ou seja, é um gerenciador de conteúdo construído em PHP.
CVE-2014-3704 - SQL Injection (Add admin user)
Nas versões do Drupal 7.x até 7.32 apresentam uma vulnerabilidade de SQL Injection na requisição POST do processo de login. De acordo com o site oficial, essa falha é na API da base de dados que não realiza adequadamente a sanitização dos dados na requisição.
Exploit-DB Publicação
O exploit 34992 foi publicado em 17/10/2014 com o script em python para explorar a vulnerabilidade. O autor do exploit é Claudio Viviani
POC - Prova de Conceito
No servidor alvo foi possível identificar através de um scan com nmap a porta 80 aberta, e ao acessar foi possível identificar o Drupal instalado. No plugin Wappalyzer é possível identificar a versão do CMS instalado.
Usando o script do exploit 34992 a vulnerabilidade é explorada com facilidade e o acesso é concedido para o usuário e senha definidos na execução do exploit.
Comentários
Postar um comentário