De kwetsbaarheid zit hem in de Database Abstraction API in Drupal 7. Die API moet juist ervoor zorgen dat queries op de database worden ontsmet om aanvallen te voorkomen. Wranger nog: het gat is elf maanden geleden al ontdekt en gepost op de openbare 'issues'-pagina van Drupal Core-notificaties. Vanochtend kreeg de post de tag Fixed mee, elf maanden na de melding.

De kwetsbaarheid zit in de versies van Drupal 7, voor versie 7.32. Upgraden naar 7.32 moet het probleem oplossen. Voor degenen die die upgrade niet kunnen maken is een patch beschikbaar gesteld door het Drupal-securityteam, dat volgens PHP Magazine blijkbaar pas heeft ingegrepen nadat het deze week op de hoogte werd gesteld door beveiligingsbedrijf SektionEins. Inmiddels is er wel een Proof of Concept uit op Reddit, dus veel haast is geboden bij het patchen van systemen.

Doopnaam Drupageddon

Het gat kreeg woensdagavond direct de naam Drupageddon mee door gebruikers van het open source-CMS, met name op Twitter. Vooral het gegeven dat een aanvaller volledige controle kan krijgen over alle Drupal-websites doordat hij of zij adminrechten kan claimen.