Viime aikoina Drupal Shell -sivustolla on kirjoitettu useita juttuja Drupal-julkaisujärjestelmästä sillä viisiin, että juttujen otsikoissa on käytetty sellaisia sanoja kuten ”haavoittuvuus” ja ”Drupalgeddon”. Drupal Shellin mukaan Drupal on suurten webbisivujen suosima julkaisujärjestelmä. Työkalu on laaja. Siksi hyökkääjillä on paljon tarttumapintaa.
Julkaisujärjestelmän tietoturvallisuutta vahtiva tiimi ilmoitti 28. maaliskuuta järjestelmän seiska- ja kasiversioissa havaitun useita haavoittuvuuksia. Ne ovat Drupalin ”kovassa ytimessä” ja sen vuoksi haavoittuvuudet koskevat joka ikistä Drupal-asennusta.
Drupalgeddon 2
CMS:ään on mahdollista siirtää ulkoisen tahon toimesta ainakin JavaScript-koodia. Se on johtanut omituiseen tilanteeseen, jossa hyökkääjät saastuttavat Drupal-asennuksen voidakseen ”louhia” Monero-kryptovaluuttaa jokaisen sivustolla vierailevan käyttäjän nettiselaimella. Hyökkäyksen toimintaperiaatteesta kerrotaan yksityiskohtaisesti Incapsulan englanninkielisessä blogissa.
