I veckan meddelade säkerhetsforskaren Troy Mursch att omkring 115 000 sajter ligger i riskzonen för att utnyttjas av sårbarheten Drupalgeddon 2. En sårbarhet som kan användas av hackare för att infektera Drupal-sajter med skadlig kod.

Nu har Drupals säkerhetsteam själva tagit bladet från munnen och om man får tro dem har Mursch kraftigt överskattat hotbilden, då hans skanningar endast utgått från sajternas logg-filer.

”Att kolla innehållet i CHANGELOG.txt är inte ett giltigt sätt att avgöra om en sajt är sårbar för någon angreppsvektor. Uppdateringarna, som distribuerades av Drupals säkerhetsteam för att lösa problemet, användes av många men de rörde inte CHANGELOG.text eller någon annan teckensträng. Det finns även fler lindrande åtgärder som inte heller de skulle påverka CHANGELOG.txt men som skulle skydda sajten”, skriver Drupals säkerhetsteam i ett uttalande.

”Vi anser att de presenterade siffrorna är felaktiga. Vi anser att det är vilseledande att dra slutsatser från den här sparsamma informationen”.

Läs också: Efter FBI:s varning: VPNFilter rustar för comeback

Troy Mursch i sin tur säger till The Register att han förstår Drupals resonemang, men att han också står fast vid sina siffror.

”Ja, även om vi vet om att 115 000 sajter använder en daterad version av Drupal, så är det möjligt att någon använt en förmildrande patch som vi inte kan se att de har använt. Det enda sättet att kontrollera detta vore att använda sårbarheten mot en halv miljon sajter”, säger Troy Mursch och fortsätter:

”Men det är olagligt så jag står fast vid min upptäckt. Jag kommer inte att använda sårbarheten, eller någon variant av den, för att bevisa att alla de här sajterna är sårbara. Faktum kvarstår att 115 000 Drupal-sajter är ouppdaterade och kan vara sårbara för angrepp, och då inte enbart via Drupalgeddon 2.”.