Recientemente, CVE-2014-3704 estuvo en las noticias. Esta vulnerabilidad permite a los atacantes ejecutar SQLi sin necesidad de iniciar sesión. Sin embargo, he buscado las vulnerabilidades disponibles y solo he encontrado explotaciones que hacen uso del formulario de inicio de sesión. ¿Esto significa que cuando el acceso al campo de inicio de sesión está restringido (lista blanca de IP), no existe ningún riesgo (siempre y cuando no puedan acceder al formulario de inicio de sesión? ¿O es posible explotarlo también en un componente Drupal diferente? ?
¡Una parte de los pensamientos sería apreciada!