Является ли Drupal 6.x уязвимым для SQL-инъекций АКА Drupalgeddon?
Если да, какие уязвимые формы, каталог или что-то еще?
Было. Получен патч (долгосрочная поддержка).
Уязвимость была исправлена с выпуском Drupal 7.58, 8.5.1, 8.3.9 и 8.4.6. Хотя Drupal 6 завершил свою жизнь и не поддерживается с февраля 2016 года, исправление еще не разработано из-за серьезности недостатка и высокого риска эксплуатации. https://www.securityweek.com/drupalgeddon-critical-flaw-exposes-million-drupal-websites-attacks
Вот патч для версии 6: https://cgit.drupalcode.org/d6lts/tree/common/core/SA-CORE-2018-002.patch или полный выпуск: https://github.com/d6lts/drupal/releases/tag/6.44, который содержит коммиты для SA-CORE-2018-001,002,004