El equipo de seguridad de Drupal acaba de publicar una vulnerabilidad crítica en el módulo contribuido Backup and Migrate que permite ejecutar código PHP de manera arbitraria.
En concreto el modulo no identifica suficientemente qué permisos suponen un riesgo para el sitio y deberían ser otorgados sólo a roles de confianza, por lo que los usuarios del mismo deberían revisar detenidamente los permisos del módulo y actualizarlo a la última versión publicada, la 7.x-3.4.
Este módulo está presente en más de 300.000 sitios en Internet que utilizan Drupal como gestor de contenidos. Dada su popularidad, se recomienda encarecidamente su actualización.
Sólo se ve afectada la versión del módulo para Drupal 7.
Toda la información en el sitio web de Drupal.