De son petit nom CVE-2014-3704, cette faille Drupal présente un risque très élevé. L’alerte précise « Full SQL Injection », attaque distante pouvant donner un accès complet à l’ensemble du site Web, précise l’inventeur de la vulnérabilité, Stefan Horst de SektionEins, spécialiste Allemand de la sécurité des architectures Web. Paradoxalement, le défaut se trouve dans l’API chargée de vérifier la conformité des requêtes afin d’éviter des … attaques par injection SQL.
Il est donc recommandé d’effectuer le plus rapidement possible la mise à niveau du CMS en version 7.32, les dernières éditions étant corrigées.