Сегодня совсем случайно обнаружил на одном из своих малопосещаемых сайтов на CMS Drupal 7 нового пользователя. Пользователь то необычный. Зовут его Drupaldev. Права у него проставлены супер-администратора. А на сайте он зарегистрирован уже 44 года. Прикольно. Сайт существует месяц, а пользователь 44 года. Начал разбираться что к чему. Конечно же в первую очередь убрал у него права админа, заблокировал и удалил.
Проверил все сайты на Drupal 7, на половине из них оказался такой же точно пользователь, с такими же правами и сроками. все они благополучно были удалены. Начал копаться почему такое может быть.
Оказывается в CMS Drupal 7 нашли уязвимость, которая позволяет от имени анонимного пользователя выполнить любой SQL код. Например создать суперпользователя, удалить табличку какую-нибудь. Это не есть хорошо. Причем такая уязвимость уже отсутствует на последних версиях CMS Drupal - начиная с 7.31
Выход только один - обновить все свои сайты до последней версии Drupal, что и было сделано незамедлительно. Это же советую и тем, у кого установлена CMS Drupal 7. Удачи!
