Vi upplever för tillfället längre svarstider än vanligt på grund av en ovanligt hög arbetsbelastning.
Vårt team arbetar med full intensitet för att effektivt hantera denna situation och minska väntetiderna.
Vi ber om er förståelse och tålamod under denna period och strävar efter att återgå till normala svarstider så snabbt som möjligt.

Drupal Webform SQL injection

Det kommer en hel del säkerhetsnotiser från Drupals säkerhetsgäng. Vi läser ständigt dessa för att hålla koll på kritiska buggar och brister.

Oftast, jämfört med t.ex. tidigare versioner av Joomla eller WordPress, så är det ganska harmlösa säkerhetsproblem som kräver att man är admin eller att det potentiellt går att utnyttja hålet.

Idag så kom det dock en notis om en bug i modulen Webform som gör att man kan trycka in SQL-injection och på så sätt få admin-rättigheter. Eftersom det går att göra som anonym användare (du behöver alltså inte ens ett konto på sidan) plus att Webform förekommer på ganska många sidor, gör att det här är en väldigt allvarlig bug. Dags att uppgradera direkt alltså.

Den nya versionen heter 6.x-3.5. Mer information kan du få genom att läsa SA-CONTRIB-2011-001 – Webform – SQL Injection