Drupal bevat een ernstig lek. Beheerders wordt aangeraden om zo snel mogelijk te updaten naar versie 8.1.7 van Drupal. Door de kwetsbaarheid in het CMS is het mogelijk om op afstand websites die met dit systeem worden onderhouden, over te nemen.
Het Computer Emergency Readiness Team van de Amerikaanse overheid besteedt op zijn website aandacht aan deze ernstige bedreiging.
Httpoxy-aanval
De kwetsbaarheid bevindt zich in de php-bibliotheek Guzzle die Drupal 8 aanwendt. Met behulp van deze bibliotheek verwerkt Drupal server-side aanvragen. Kwaadwillenden kunnen via dit lek een eigen proxy-server opgeven die Guzzle vervolgens inzet; het betreft hier een httpoxy-aanval.
Opensourcesoftware
Normaal gesproken brengt Drupal beveiligingsupdates op woensdag uit. Omdat httpoxy echter veel producten treft, is de update twee dagen eerder uitgebracht. Versie 7 van dit CMS bevat deze kwetsbaarheid niet. Drupal is opensourcesoftware gemaakt in de programmeertaal PHP en uitgebracht onder de GPL. Drupal draait onder andere op de besturingssystemen Windows, Mac en Linux.