В системе управления web-контентом Drupal выявлена критическая уязвимость, позволяющая атакующему выполнить свой PHP-код на сервере. Уязвимость затрагивает только Drupal 7.x и присутствует в наборе contrib-модулей. Несмотря на то, что ядро Drupal проблеме не подвержено, по оценке разработчиков уязвимость присутствует в достаточно популярных модулях, охватывающих до 10 тысяч сайтов. Список проблемных модулей и патч с устранением уязвимости будет опубликован сегодня в 19 часов вечера (MSK). Пользователям Drupal, использующим дополнительные модули, рекомендуется спланировать оперативную установку обновления.

Дополнение: уязвимости присутствуют в модулях "Webform Multifile", "Coder" (для атаки не обязательно включение модуля, достаточно его наличия) и "RESTful Web Services".