CMS Drupal: Angreifer könnten Admin-Accounts attackieren
Eine Sicherheitslücke in der CKEditor-Bibliothek macht Drupal angreifbar.
Wer auf seiner mit dem Content Management System (CMS) Drupal erstellten Website die Drittanbieter-Bibliothek WYSIWYG CKEditor für registrierte Seitennutzer einsetzt, sollte das CMS auf den aktuellen Stand bringen.
Das Drupal-Team stuft die Sicherheitslücke in der Bibliothek als "moderat kritisch" ein. Betroffen davon sind Drupal 8.7.x und 8.8.x. Die Ausgaben 8.7.12 und 8.8.4 sind abgesichert, wie aus einer Meldung der Entwickler hervorgeht. Die aktuellen Versionen bringen die reparierte CKEditor-Version 4.14 mit. Nutzer von Drupal 7 sollten sicherstellen, dass diese CKEditor-Ausgabe installiert ist.
Angreifer, die mit der Bibliothek Content für eine verwundbare Website erstellen können, könnten über die Schwachstelle unter Umständen Admin-Konten mit XSS-Attacken ins Visier nehmen. (des)
