Drupal patcht Cross-Site-Scripting-Lecks
Quelle: Drupal.org

Drupal patcht Cross-Site-Scripting-Lecks

In den Modulen Webform und Admin Toolbar der Content-Management-Lösung Drupal wurden Schwachstellen entdeckt, die für Angriffe genutzt werden könnten. Per sofort stehen Updates der betroffenen Module zur Verfügung.
29. August 2021

     

Im beliebten Content-Management-System Drupal wurden Schwachstellen aufgedeckt, für die der Hersteller jetzt Aktualisierungspakete veröffentlicht hat.

Wie in einem Security Advisory erklärt wird, findet sich im Webform-Modul eine als "moderat kritisch" bezeichnete Lücke, die einem Fehler im WYSIWYG-Editor Ckeditor zuzuschreiben ist. Das Leck erlaubt es einem Angreifer, einen Benutzer des Editors via XSS anzugreifen. Eine jetzt freigegebene aktualisierte Version des Webform-Modul korrigiert den Fehler.


Beim zweiten betroffenen Modul handelt es sich um die Admin Toolbar, deren Suchfunktion Anwendereingaben zu wenig sauber prüft, was ebenfalls zu einer Cross-Site-Scripting-Verletzlichkeit führen kann. Auch hier steht ein Update für das Modul zur Verfügung. (rd)



Weitere Artikel zum Thema

Drupal bringt Security-Update

23. November 2020 - Im CMS Drupal klaffte bis zum vorliegenden Update eine Sicherheitslücke, mit der die Remote-Ausführung von Schadcode möglich war.

Sicherheits-Update für Drupal-Lecks

20. September 2020 - Eine kritische XSS-Schwachstelle in Drupal 8 und 9 öffnet Angreifern die Tür zur Installation von Schadcode auf Drupal-Websites.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER