Contentmanagementsysteem Drupal waarschuwt voor ernstige lekken in drie modules die het overnemen van een site mogelijk maken. Het gaat om modules die gebruikt worden door een klein aantal sites; de organisatie schat het totale aantal tussen de 1000 en 10.000.
De core van het Drupal-systeem is niet getroffen, zo laat het het beveiligingsteam weten in een bericht. Bij de modules gaat het om Restws, Coder en Webform Multiple File upload. Met dit soort modules kan de functionaliteit van het cms uitgebreid worden. De kwetsbaarheden maken het mogelijk om op afstand code uit te voeren en hebben wegingen tot 22 uit 25 punten meegekregen, waardoor deze als zeer ernstig zijn geschat.
Er zijn woensdag patches beschikbaar gekomen voor de lekken. Drupal heeft via Twitter laten weten dat de Coder-module niet ingeschakeld hoeft te zijn om aangevallen te kunnen worden, deze hoeft zich alleen ergens in de webroot te bevinden. Drupal verwacht dat er binnen enkele uren of dagen zeker exploits voor de kwetsbaarheden zullen verschijnen en roept gebruikers dan ook op om zo snel mogelijk een update uit te voeren.
Volgens The Register is Drupal in totaal ongeveer 15 miljoen keer gedownload, in vergelijking tot 30 miljoen downloads van Joomla en 140 miljoen downloads van WordPress.