Ein Fehler in der SQL-Abstraktionsschicht erlaubt es, beliebige SQL-Anweisungen auszuführen.
Ein Fehler im Code des Content-Management-Systems Drupal 7 erlaubt es, mit relativ wenig Aufwand eigene SQL-Anweisungen in der Datenbank auszuführen. Ironischerweise steckt der dafür verantwortliche Fehler im Code, der das Einschleusen von SQL-Injections verhindern soll. Aufgedeckt wurde die Lücke durch Security-Experten der Firma Sektioneins .
Das Drupal-Security-Advisory SA-CORE-2014-05 stuft die Lücke als äußerst kritisch ein und empfiehlt dringend ein Update auf Drupal 7.32. Wer Drupal nicht updaten kann, findet auf der Advisory-Seite auch einen Patch, der nur den Fehler im Datenbank-Code behebt.