zurück zum Artikel

Angreifer könnten auf eigentlich durch Passwörter abgeschottete Drupal-Websites zugreifen. Ein Sicherheitsupdate ist verfügbar.

Eigentlich soll das Modul Protected Pages mit dem Content-Management-System (CMS) Drupal erstellte Websites über Passwörter absichern, doch Angreifer sollen den Passwortschutz umgehen können. Eine dagegen abgesicherte Version steht zum Download bereit.

Admins, die Protected Pages für Drupal 8, 9 oder 10 nutzen, sollten zeitnah die reparierte Ausgabe 8.x-1.6 installieren. Das geht aus einer Warnmeldung der CMS-Entwickler hervor [1]. Setzen Angreifer an der Schwachstelle an, eine CVE-Nummer wurde offensichtlich bislang nicht vergeben, könnten sie den Passwortschutz auf einem nicht näher ausgeführten Weg umgehen und auf Seiteninhalte zugreifen. Drupal schätzt das Sicherheitsrisiko als "kritisch" ein.

[2]

(des [3])

URL dieses Artikels:
https://www.heise.de/-8959518

Links in diesem Artikel:
[1] https://www.drupal.org/sa-contrib-2023-013
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de

Copyright © 2023 Heise Medien