Drupal 存在嚴重安全性弱點，遠端攻擊者可利用這些弱點來執行任意程式碼並取得Drupal網站的控制權。

目前已知會受到影響的版本如下:
Drupal 8.6.x版本
Drupal 8.5.x版本
Drupal 8 (含)之前版本

• Drupal 8.6.10版本
• Drupal 8.5.11版本
• Drupal 8 (含)之前版本其產品壽命周期已經結束，無更新程式可用，要立即緩解該漏洞則可關閉所有的Web服務模組，或是變更Web伺服器配置，禁止以 PUT/PATCH/POST請求Web服務資源 

Drupal 存在嚴重安全性弱點，已發佈安全性更新。

只有在某些特定的配置下才會形成弱點，包括在Drupal 8上啟用RESTful Web 服務模組，同時允許PATCH 或POST 請求；或者是啟用了其它Web 服務模組，像是在Drupal 8上啟用JSON:API，或是在Drupal 7上啟用Services 或RESTful 因某些類型的欄位無法適當地處理非表格來源的資料，在某些情況下將允許攻擊者自遠端執行PHP程式。

iThome(2019/02/22)
Us-cert(2019/02/21)