Η κρίσιμη ευπάθεια με κωδικό CVE-2019-6340 του Drupal, εκθέτει τους χρήστες της πλατφόρμας σε κίνδυνο απομακρυσμένης εκτέλεσης κακόβουλου κώδικα, λόγω αστοχίας πιστοποίησης του user input.

Για να είναι ευάλλωτο ένα site θα πρέπει να ισχύει μια από τις παρακάτω παραμέτρους:
"Some field types do not properly sanitize data from non-form sources," the advisory stated. "This can lead to arbitrary PHP code execution in some cases."

For a site to be vulnerable, one of the following conditions must be met:

It has the Drupal 8 core RESTful Web Services (rest) module enabled and allows PATCH or POST requests or
It has another Web-services module enabled, such as JSON:API in Drupal 8, or Services or RESTful Web Services in Drupal 7

Οι διαχειριστές του Drupal καλούν όλους τους χρήστες του να αναβαθμίσουν άμεσα. Όσα sites τρέχουν την έκδοση 8.6.x στην 8.6.10 και όσα εκδόσεις 8.5.x ή μικρότερες, στην 8.5.11. Επιπλέον θα πρέπει να εγκαταστήσουν όλα τα διαθέσιμα security updates. Για την έκδοση Drupal7 δεν χρειάζεται αναβάθμιση του πυρήνα αλλά των διαφόρων modules της.

Πηγή : ArsTechnica