Manche mit dem Content-Management-System (CMS) Drupal erstellte Websites sind über mehrere Sicherheitslücken angreifbar. Wenn ein Angreifer diese Lücken ausnutzt, kann er unter Umständen auf Inhalte zugreifen, auf die er eigentlich keinen Zugriff haben sollte.
Das Problem betrifft sowohl die Versionen 7.x und die Versionen 8.4.x des CMS Drupal, warnen die Entwickler. In den jetzt verfügbaren Versionen 7.57 und 8.4.5 sind die Lücken geschlossen worden.
Die Lücken im Einzelnen
Eine der kritischen Lücken steckt ausschließlich in Drupal 8. Wenn dort die Kommentarfunktion aktiviert ist und ein Angreifer die Rechte zum Verfassen von Kommentaren besitzt, könnte er durch Ausnutzung dieser Schwachstelle unter Umständen unrechtmäßig auf fremde Inhalte zugreifen.
Diese Lücke wird allerdings dadurch etwas abgemildert, dass das Kommentarsystem aktiviert sein muss und ein Angreifer auch das Recht haben muss, Kommentare zu posten.
Wie ein solcher Übergriff im Detail funktioniert, sagen die Entwickler aus nachvollziehbaren Gründen (noch) nicht. Wegen der Schwere der Lücke („Critical“) muss man aber davon auszugehen, dass ein Angriff aus der Ferne durchaus möglich ist.
Die zweite kritische Sicherheitslücke steckt sowohl in Drupal 7 als auch in Drupal 8, und zwar in der Funktion Drupal.checkPlain() zur Verhinderung von Cross Site Scripting (CSS). Über diese Schwachstelle können böswillige Angreifer eine XSS-Attacke auf das CMS einleiten.
Nähere Details zu den weiteren, als „moderat kritisch“ oder „weniger kritisch“ eingestuften Lücken können Sie in der Sicherheitswarnung der Entwickler nachlesen.
Hinterlasse einen Kommentar