https://www.drupal.org/SA-CORE-2014-005
Pour tous ceux qui ont des sites Drupal 7, il est conseillé de faire une mise à jour immédiatement vers la version 7.32, ou d'appliquer le patch donné dans le lien.
Détails ici.
tl;dr: une faille dans la prise en charge des tableaux de paramètres permet à n'importe qui (même un utilisateur anonyme) d'injecter le code de son choix dans la requête SQL, et lui permet de faire à peu près tout ce qu'il veut avec le site.
Un rappel à tous qu'écrire un code sécurisé n'est pas facile et qu'il ne suffit pas d'utiliser les requêtes préparées pour déclarer que son code est sûr (les requêtes préparées sont le minimum).
Partager