Discussion :

[Tsilefy]

https://www.drupal.org/SA-CORE-2014-005

Pour tous ceux qui ont des sites Drupal 7, il est conseillé de faire une mise à jour immédiatement vers la version 7.32, ou d'appliquer le patch donné dans le lien.

Détails ici.
tl;dr: une faille dans la prise en charge des tableaux de paramètres permet à n'importe qui (même un utilisateur anonyme) d'injecter le code de son choix dans la requête SQL, et lui permet de faire à peu près tout ce qu'il veut avec le site.

Un rappel à tous qu'écrire un code sécurisé n'est pas facile et qu'il ne suffit pas d'utiliser les requêtes préparées pour déclarer que son code est sûr (les requêtes préparées sont le minimum).

[sabotage]

Ah ba oui utiliser une donnée utilisateur directement dans la requête c'est une belle bourde