آسیب‌پذیری قدیمی تزریق SQL در سامانه دروپال Drupal،

یک آسیب‌پذیری تزریق SQL در سامانه دروپال Drupal، پس از ۱۹ ماه که توسط توسعه‌دهندگان دروپال وصله شد هنوز هم به وسیله‌ی عوامل مخرب برای نفوذ به وبگاه‌ها استفاده می‌شود. این آسیب‌پذیری مورد نظر، که دارای شناسه CVE-۲۰۱۴-۳۷۰۴ است و به وسیله‌ی محققان به نام Drupalgeddon نام‌گذاری شده است، به یک رابط کاربری انتزاعی پایگاه داده که توسط دروپال ۷ استفاده می‌شود، مربوط است. این حفره به نفوذگران اجازه می‌دهد تا درخواست‌های SQL دلخواه را اجرا کنند و در اثر آن اجازه‌ی دسترسی را افزایش داده و کدهای دلخواه را اجرا کنند. این وصله در ۱۵ اکتبر سال ۲۰۱۴ منتشر شده است. تنها دو هفته پس از اینکه وصله‌ای برای این آسیب‌پذیری منتشر شد، دروپال هشدار داد که همه‌ی نسخه‌ها باید به عنوان نسخه‌های در خطر تلقی شوند، مگر اینکه ظرف هفت ساعت این وصله‌ها اعمال شوند. امروزه نیز برخی از سازمان‌ها وجود دارند که این آسیب‌پذیری‌ها را وصله نکرده‌اند. شرکت امنیتی سوکوری  به بررسی این حملات که آسیب‌پذیری CVE-۲۰۱۴-۳۷۰۴ را نشانه رفته‌اند، پرداخته است. بنا به گفته‌ی این شرکت، پس از حملات اولیه در اکتبر و نوامبر سال ۲۰۱۴، هنگامی که هزاران وبگاه، مورد حمله قرار گرفت، تعداد حملات کاهش یافت، اما در طی سالهای ۲۰۱۵ و ۲۰۱۶ روند ثابتی داشته است. شرکت سوکوری سه‌شنبه در پست وبلاگ خود گفته است: اگر کسی این وصله‌ها را اعمال نکرده است، مطمئناً امروزه نیز در معرض خطر قرار دارد. اما این موجب نشده است که نفوذگران برای یافتن راه‌های ورودی جدید تلاش نکنند و حتی وبگاه‌های در خطر را بیشتر از آن آلوده نکنند.