Drupal, SQL injection a spuštění cizího kódu

Výrobce uvolnil nové verze produktu Drupal 4.6.7 a 4.7.1, které opravují dvě bezpečnostní chyby z předešlých verzí. První chyba se týká špatného ověření parametrů "count" a "from" ve skriptech database.mysql.inc, database.pgsql.inc, a database.mysqli.inc, čehož může potenciální útočník zneužít ke vložení cizího SQL příkazu. Druhá chyba spočívala v možnosti přístupu k souborům v adresáři "files" bez nutnosti autentizace, to mohlo vést ke spuštění cizího souboru. Tento problém mohl uživatel vyřešit sám správným nastavením .htaccess, nové verze Drupalu tak již činí samy.