ប្រសិនបើអ្នកមិនទាន់ធ្វើបច្ចុប្បន្នភាពប្លក់ ឬគេហទំពរ័ធុរកិច្ច Drupal របស់អ្នកទៅកំណែចុងក្រោយបំផុតនោះវាគួរតែដល់ពេលហើយ។ ក្រុមអភិវឌ្ឍន៍ Drupal កាលពីម្សិលមិញចេញផ្សាយការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាពសំខាន់ៗសម្រាប់កម្មវិធីគ្រប់គ្រងមាតិកា open source content ដែលត្រូវគេប្រើយ៉ាងទូលំទូលាយដែលដោះស្រាយបញ្ហាភាពងាយរងគ្រោះ “moderately critical” ចំនួនបី នៅក្នុងប្រព័ន្ធ core system។ ដោយពិចារណាថាគេហទំព័រដែលដំណើរការដោយប្រព័ន្ធ Drupal ស្ថិតក្នុងចំណោមគោលដៅដែលចូលចិត្តបំផុតសម្រាប់ពួកហេគឃរ័ អ្នកគ្រប់គ្រងគេហទំព័រត្រូវផ្តល់អនុសាសន៍ឱ្យតំឡើងកម្មវិធី Drupal 7.69, 8.7.11, ឬ 8.8.1 ដើម្បីការពារកុំឲ្យពួកហេគឃរ័លួចចូលពីគេហទំព័រ។
ភាពងាយរងគ្រោះ Symlinks សំខាន់នៅក្នុង Drupal ការប្រឹក្សាតែមួយគត់ដែលមានភាពធ្ងន់ធ្ងររួមបញ្ចូលទាំងបំណះនៃភាពងាយរងគ្រោះជាច្រើននៅក្នុងបណ្ណាល័យភាគីទីបីដែលមានឈ្មោះថា 'Archive_Tar' ដែល Drupal Core ប្រើសម្រាប់បង្កើតការចុះបញ្ជី ការដកស្រង់ និងបន្ថែមឯកសារទៅប័ណ្ណសារ tar archives។ ភាពងាយរងគ្រោះស្ថិតនៅក្នុងបណ្ណាល័យដែលរងផលប៉ះពាល់ untar archives with symlinks ដែល ប្រសិនបើធ្វើអាជីវកម្មអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារសរសេរជាន់លើឯកសាររសើបនៅលើម៉ាស៊ីនមេគោលដៅដោយផ្ទុកឯកសារ tar ដែលមានគំនិតអាក្រក់។ ដោយសារតែបញ្ហានេះត្រូវកត់សម្គាល់គុណវិបត្តិប៉ះពាល់តែគេហទំព័រ Drupal ដែលត្រូវតំឡើងដើម្បីដំណើរការ .tar, .tar.gz, .bz2 ឬ .tlz ដែលផ្ទុកឡើងដោយអ្នកប្រើប្រាស់ដែលមិនទុកចិត្ត។ យោងទៅតាមអ្នកអភិវឌ្ឍន៍ Drupal ការធ្វើអាជីវកម្មភស្តុតាងសម្រាប់ភាពងាយរងគ្រោះនេះមានរួច ហើយ ហើយពិចារណាលើប្រជាប្រិយភាពនៃការកេងប្រវ័ញ្ចរបស់ Drupal ក្នុងចំណោមពួកហេគឃរ័ អ្នកអាចឃើញពួកហេគឃរ័កេងចំណេញគុណវិបត្តិនេះដើម្បីកំណត់គោលដៅគេហទំព័រ Drupal ។
ក្រៅពីភាពងាយរងគ្រោះដ៏សំខាន់នេះអ្នកអភិវឌ្ឍន៍ Drupal ក៏បញ្ចូលភាពងាយរងគ្រោះចំនួន ៣ ដែលមានសារៈសំខាន់នៅក្នុងកម្មវិធី core របស់វាផងដែរ។
– ការបដិសេធសេវាកម្ម (DoS)៖ ឯកសារ install.php ដែលត្រូវប្រើដោយ Drupal 8 Core មាន គុណវិបត្តិដែលអាចត្រូវធ្វើអាជីវកម្មដោយអ្នកវាយប្រហារពីចម្ងាយដែលគ្មានការ បញ្ជាក់ត្រឹមត្រូវដើម្បីធ្វើឱ្យប៉ះពាល់ដល់គេហទំព័រដែលមានគោលដៅដោយការបង្ខូចទិន្នន័យ cached data របស់វា។ – ការរឹតបណ្តឹងសន្តិសុខ Bypass៖ មុខងារផ្ទុកឯកសារនៅក្នុង Drupal 8 មិនដកចេញនូវចំនុចនាំមុខ និងការដក “.” ចេញពីឈ្មោះឯកសារដែលអាចត្រូវប្រើដោយ អ្នកវាយប្រហារ ដែលមានសមត្ថភាពផ្ទុកឯកសារដើម្បីសរសេរជាន់លើឯកសារប្រព័ន្ធបំពាន ដូចជា .htaccess ដើម្បីចៀសផុតពីសុវត្ថិភាពការការពារ។
– ការចូលប្រើដោយគ្មានការអនុញ្ញាត៖ ភាពងាយរងគ្រោះនេះមាននៅក្នុង Drupal’s default Media Library module នៅពេលវាមិនរឹតត្បិតការចូលក្នុងការកំណត់រចនាសម្ព័ន្ធជាក់លាក់។ ដូច្នេះវាអាចអនុញ្ញាតឱ្យអ្នកប្រើដែលមានសិទ្ធិទាបទទួលសិទ្ធិចូលប្រើព័ត៌មានរសើបដែលមិនមានការអនុញ្ញាត បើមិនដូច្នេះទេគាត់អាចទទួលសិទ្ធិ។
យោងទៅតាមអ្នកអភិវឌ្ឍន៍អ្នកគ្រប់គ្រងគេហទំព័រដែលរងផលប៉ះពាល់អាចកាត់បន្ថយភាពងាយរងគ្រោះនៃប្រព័ន្ធផ្សព្វផ្សាយចូលដោយ unchecking “Enable advanced UI” checkbox នៅលើ / admin / config / media / media-library ទោះបីជាការកាត់បន្ថយនេះ not available នៅក្នុង 8.7.x ក៏ដោយ។ ភាពងាយរងគ្រោះទាំងអស់ “moderately critical” ខាងលើត្រូវគេភ្ជាប់ជាមួយការចេញផ្សាយ Drupal ជំនាន់ ៨.៧.១១ និង ៨.៨.១ ហើយនៅពេលសរសេរ no proof of concept បញ្ជាក់ពីគុណវិបត្តិ ទាំងនេះទេ។ ចាប់តាំងពីមាន proof of concept សម្រាប់ភាពងាយរងគ្រោះ Drupal អ្នកប្រើដែលកំពុង ដំណើរការកំណែងាយរងគ្រោះរបស់ Drupal ត្រូវណែនាំឱ្យធ្វើបច្ចុប្បន្នភាព CMS របស់ពួកគេទៅ ការចេញផ្សាយ Drupal core ចុងក្រោយបំផុតឱ្យឆាប់តាមដែលអាចធ្វើទៅ។