Det kommer en hel del säkerhetsnotiser från Drupals säkerhetsgäng. Vi läser ständigt dessa för att hålla koll på kritiska buggar och brister.
Oftast, jämfört med t.ex. tidigare versioner av Joomla eller WordPress, så är det ganska harmlösa säkerhetsproblem som kräver att man är admin eller att det potentiellt går att utnyttja hålet.
Idag så kom det dock en notis om en bug i modulen Webform som gör att man kan trycka in SQL-injection och på så sätt få admin-rättigheter. Eftersom det går att göra som anonym användare (du behöver alltså inte ens ett konto på sidan) plus att Webform förekommer på ganska många sidor, gör att det här är en väldigt allvarlig bug. Dags att uppgradera direkt alltså.
Den nya versionen heter 6.x-3.5. Mer information kan du få genom att läsa SA-CONTRIB-2011-001 – Webform – SQL Injection