Een meerderheid van de websites die het contentmanagementsysteem (CMS) Drupal 7 gebruikt mist een belangrijke update voor een ernstig lek en loopt daardoor het risico door cybercriminelen te worden overgenomen, hoewel ze van de Drupal-ontwikkelaars er vanuit moeten gaan dat dit al het geval is.
Op 15 oktober patchte Drupal namelijk een ernstig lek in het cms. Via het lek kan een aanvaller op afstand de website overnemen. Zeven uur na het uitkomen van de patch werden de eerste aanvallen al waargenomen. In een update stelde het Drupal-ontwikkelteam dat alle Drupal 7-sites die zeven uur na het uitkomen van de patch niet waren gepatcht, ervan moeten uitgaan dat ze zijn gecompromitteerd.
Het Drupal-ontwikkelteam publiceert elke week verschillende statistieken met betrekking tot het aantal gebruikers. Op 2 november waren er meer dan 965.000 websites die Drupal 7 als cms gebruikten, waarmee dit veruit de populairste versie is. In totaal zijn er namelijk 1,1 miljoen websites die op Drupal draaien. Van de 965.000 Drupal 7-sites beschikken er 318.000 over versie 7.32, waarin het ernstige lek is opgelost.
Daarnaast zijn er nog zo'n 40.000 websites die een versie met een hoger versienummer gebruiken. Ongeveer 600.000 sites draaien echter een versie onder 7.32 en zijn daardoor in theorie kwetsbaar. Hierbij moet wel worden opgemerkt dat het mogelijk is om het lek te patchen zonder naar versie 7.32 of nieuwer te upgraden, maar het geeft wel aan dat veel websites nog steeds kwetsbaar zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.