Sicherheits-Update für Drupal-Lecks
Sicherheits-Update für Drupal-Lecks
(Quelle: Drupal.org)
20. September 2020 -
Eine kritische XSS-Schwachstelle in Drupal 8 und 9 öffnet Angreifern die Tür zur Installation von Schadcode auf Drupal-Websites.
Das verbreitete Web-CMS Drupal krankt in den Versionen 8 und 9 an diversen Schwachstellen, wovon eine als kritisch gilt. Bei CVE-2020-13668 handelt es sich um eine Cross-Site-Scripting-Lücke, über die Angreifer Webseiten mit Schadcode verseuchen können, der dann beim Aufruf der Seite ausgeführt wird. Die neuen, sicheren Drupal-Versionen heissen 8.8.10, 8.9.6 und 9.0.6.
Die restlichen Verwundbarkeiten, die mit den Sicherheits-Updates behoben wurden, stufen die Drupal-Entwickler als moderat kritisch ein. Bei zweien davon geht es ebenfalls um Cross-Site-Scripting, bei einer weiteren um ungenügende Zugangskontrolle beim Wechsel zwischen Workspaces, und die vierte ermöglicht es, über das File-Modul Metadaten zu einer Datei abzugreifen. (ubi)
Die restlichen Verwundbarkeiten, die mit den Sicherheits-Updates behoben wurden, stufen die Drupal-Entwickler als moderat kritisch ein. Bei zweien davon geht es ebenfalls um Cross-Site-Scripting, bei einer weiteren um ungenügende Zugangskontrolle beim Wechsel zwischen Workspaces, und die vierte ermöglicht es, über das File-Modul Metadaten zu einer Datei abzugreifen. (ubi)