Alert!

Drupal-Sicherheitslücke könnte Angreifern die Systemübernahme ermöglichen

Die US-Cyber-Sicherheitsbehörde CISA warnt vor einer Sicherheitslücke im Content-Management-System Drupal. Angreifer könnten verwundbare Systeme kapern.

In Pocket speichern vorlesen Druckansicht

(Bild: Shutterstock)

Lesezeit: 2 Min.
Von

Im Content-Management-System Drupal klafft eine Sicherheitslücke, die Angreifern ermöglicht, die Kontrolle über verwundbare Systeme zu übernehmen. Davor warnt die US-amerikanische Cyber-Sicherheitsbehörde CISA derzeit. Aktualisierte Software zum Abdichten der Schwachstelle steht bereit.

Die Sicherheitslücke erlaube das Umgehen von Zugriffsbeschränkungen und betreffe mehrere Drupal-Versionen, fasst die CISA knapp in einer Warnungsmeldung zusammen. Administratoren und Nutzer von Drupal sollten die nötigen Updates anwenden, rät die Behörde weiter.

Die Schwachstelle basiert darauf, dass der Drupal Core eine Seite mit den weitreichenden Informationen bereitstellt, die phpinfo() auswirft. Die dient der Diagnose der PHP-Systemkonfiguration. Sie ist zwar nicht direkt zugreifbar, jedoch könnten Angreifer Zugang zu den Informationen erlangen, wenn sie einen Cross-Site-Scripting-Angriff gegen Nutzer mit erhöhten Rechten ausführen können.

Einen CVE-Eintrag hat die Schwachstelle noch nicht erhalten. Das Drupal-Projekt stuft die Lücke als moderates Risiko ein. Aktualisierte Software-Stände des CMS dichten das Sicherheitsleck jedoch ab. Für Drupal 10.0 ist das Version 10.0.5, für Drupal 9.5 die Fassung 9.5.5, für Drupal 9.4 der Stand 9.4.12 und für Drupal 7 die Fassung 7.95. Die Entwickler weisen darauf hin, dass alle Versionen von Drupal 9 vor 9.4 am End-of-Life angekommen seien und keine Sicherheitsaktualisierungen mehr erhalten. Drupal 8 habe ebenfalls sein End-of-Life erreicht. IT-Verantwortliche sollten gegebenenfalls auf eine unterstützte Drupal-Version aktualisieren und die bereitstehenden Updates zeitnah anwenden.

Zuletzt musste das Drupal-Projekt im vergangenen November Schwachstellen schließen, durch die damit erstellte Webseiten verwundbar waren. Angreifer hätten dadurch unbefugt auf eigentlich abgeschottete Daten zugreifen können.

(dmk)