Drupal heeft opnieuw gewaarschuwd voor een patch voor een kritiek lek in versie 7 en 8 van zijn contentmanagementsysteem. Die komt op 25 april uit buiten de normale updateplanning. Waar Drupal bij het eerdere lek sprak van highly critical, hanteert het hier de aanduiding critical.
Daardoor lijkt de ernst van de nieuwe kwetsbaarheid, met kenmerk CVE-2018-7602, minder te zijn dan die van het lek waarvoor het Drupal-team eind maart patches uitbracht. De ernst is wel zodanig dat het team het nodig acht om de release, die buiten de normale planning plaatsvindt, aan te kondigen. Het team geeft geen details, maar schrijft dat het om een follow-up van het vorige lek gaat en dat het ook hier weer mogelijk is dat er binnen enkele uren of dagen exploits voor worden ontwikkeld.
De release vindt op 25 april plaats tussen 16:00 en 18:00 UTC, wat neerkomt op 18:00 en 20:00 lokale tijd. De update komt uit voor versies 7.x, 8.4.x en 8.5.x, waarbij gebruikers van de eerste en de laatstgenoemde release op normale wijze kunnen updaten. Het team raadt gebruikers van versie 8.4.x aan om eerst naar 8.4.8 te updaten en dan later naar een wel ondersteunde versie zoals 8.5.3. Op het genoemde tijdstip wil het Drupal-team meer informatie beschikbaar maken op zijn beveiligingspagina. Er zou geen databaseupdate vereist zijn.
Bij het vorige lek waarschuwde het team ook dat er exploits ontwikkeld zouden worden, wat vervolgens ook gebeurde. Al duurde dit iets langer dan verwacht. Het team waarschuwde op 13 april voor 'geautomatiseerde aanvallen' op ongepatchte Drupal-versies. Vervolgens waarschuwde een beveiligingsbedrijf een week geleden dat varianten van het Tsunami-botnet het op ongepatchte sites hebben gemunt.