Zgodnie z wcześniejszą zapowiedzią twórcy Drupala, popularnego systemu do tworzenia i obsługi serwisów internetowych, wydali nową wersję oprogramowania, usuwając wysoce krytyczny błąd w jądrze systemu. Jest on powiązany z załataną miesiąc temu luką CVE-2018-7600, której w sieci nadano nazwę Drupalgeddon2. Sam został oznaczony jako CVE-2018-7602 i umożliwia zdalne wykonywanie kodu bez uwierzytelnienia. Problem dotyczy wadliwej obsługi symbolu # w adresach URL, w szczególności braku weryfikacji dostarczanych przez niego parametrów. Atak za pośrednictwem tej luki jest na tyle prosty, że pięć godzin po udostępnieniu aktualizacji twórcy Drupala odnotowali pierwsze próby jego przeprowadzenia. Dwie godziny później na Pastebinie opublikowano kod PoC (ang. Proof of Concept) pokazujący efektywne wykorzystanie łatanej podatności. Z tego względu twórcy systemu zalecają jak najszybsze zainstalowanie aktualizacji.
Ryzyko duże: Podatność została uznana za wysoce krytyczną (ang. highly critical), przyznano jej 20/25 punktów według skali Drupala.
Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do wersji 7.59 (linia 7.x) lub 8.5.3 (linia 8.x).
