'Mässig kritische' Sicherheitslücke in Drupal
Quelle: Depositphotos

"Mässig kritische" Sicherheitslücke in Drupal

Verschiedene Versionen von Drupal 7, 9 und 10 leiden unter einer Schwachstelle, die einem Angreifer unter gewissen Umständen die Kontrolle über das System ermöglicht. Patches stehen bereit.
20. März 2023

     

Das Content-Management-System Drupal weist eine Schwachstelle auf, die Angreifern die Kontrolle über die betroffenen Systeme erlaubt. Die Drupal-Macher warnen vor dem Leck im Drupal Core, das sich über die Funktion phpinfo ausnutzen lässt: "Wenn ein Angreifer einen Cross-Site-Scriptintg-Exploit gegen einen privilegierten Benutzer erreichen konnte, kann er möglicherweise die phpinfo-Seite verwenden, um auf vertrauliche Informationen zuzugreifen, die zur Eskalation des Angriffs verwendet werden könnten."

Da aber zuerst ein XSS-Exploit erforderlich sei, sieht die Drupal-Organisation den Fehler nur als "mässig kritisch" an, der im Common Misuse Scoring System von NIST ein Risiko von 14 von 25 maximal möglichen Punkten aufweise. Einen CVSS Score scheint das Leck noch nicht erhalten zu haben.


Betroffen sind die Drupal-Versionen kleiner als 7.95, 8.0.0 bis unter 9.4.12, 9.5.0 bis unter 9.5.5 sowie 10.0.0 bis unter 10.0.5. Dementsprechend heissen die gepatchten Versionen 7.95, 9.5.5, 9.4.12 und 10.0.5. Dabei gelten Drupal-9-Versionen vor 9.4.x als End-of-Life und erhalten keine Patches mehr. Auch Drupal 8 wird überhaupt nicht mehr unterstützt. Wer noch ein solches Drupal-System betreibt, sollte möglichst auf eine der weiterhin unterstützten Versionen aufrüsten. (ubi)


Weitere Artikel zum Thema

Gefährliche Sicherheitslücken in Drupal

3. Oktober 2022 - Mit neuen Sicherheits-Updates haben die Entwickler des CMS Drupal zwei signifikante Schwachstellen in Drupal 7.x und 9.3/9.4 ausgeräumt.

Sicherheitslücke in Drupal, Update dringend empfohlen

1. Juni 2022 - Aufgrund eines Fehlers in der von Drupal genutzten Library Guzzle sind ungepatchte Drupal-Websites derzeit gefährdet, von Angreifern übernommen zu werden. Ein Patch steht bereit.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER