Riječ je o kritičnom propustu otkrivenom 15. listopada koji napadačima omogućuje izvođenje SQL injection napada. Prilikom napada nije potrebno posjedovati korisnički račun stranice na kojoj se izvodi napad, a moguće je prikriti sve tragove o upravo izvedenom napadu.
Odmah nakon objave 15. listopada izdana je zakrpa koja ispravlja ovaj propust (Drupal verzija 7.32), no u novom sigurnosnom upozorenju iz Drupala tvrde da su sve web-stranice na koje zakrpa nije instalirana u roku od sedam sati od javne objave 15. listopada najvjerojatnije kompromitirane.
Naime, odmah nakon objave počeli su masovni automatizirani napadi na Drupal web-stranice. Napadači iskorištavaju propust pomoću automatiziranih alata, a u nekim slučajevima za lakši pristup postavljaju stražnja vrata te potom instaliraju Drupalovu zakrpu kako bi u budućnosti samo oni imali pristup toj stranici.
Ponedjeljak, Studeni 3, 2014