Sicherheitsupdates: Drupal-Plug-ins mit Schadcode-Lücken
Wenn bestimmte Plug-ins zum Einsatz kommen, sind mit dem CMS Drupal erstellte Websites attackierbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Mehrere Plug-ins für das Content Management System (CMS) Drupal weisen Schwachstellen auf. Im schlimmsten Fall kann Schadcode auf Websites gelangen. Sicherheitsupdates sind verfügbar.
Die abgesicherten Versionen
Wie aus den unterhalb dieses Beitrages verlinkten Warnmeldungen hervorgeht, sind weisen die folgenden Plug-ins Sicherheitsprobleme auf:
- ACL abgesicherte Versionen 7.x-1.4, 8.x-1.0
- Config Pages abgesicherte Version 8.x-2.9
- Data field abgesicherte Version 1.0.16
- Flexi Access abgesicherte Version 7.x-1.3
- Forum Access abgesicherte Versionen 7.x-1.6, 8.x-1.0
- SafeDelete abgesicherte Version 1.0.44
- Shorthand abgesicherte Version 4.0.3
Kritische Schadcode-Lücken
Vier Sicherheitslücken stufen die Entwickler als „kritisch“ ein. Die CVE-Nummern werden in den Warnmeldungen nicht genannt. In diesen Fällen können Angreifer Zugangsbeschränkungen umgehen (Shorthand) oder aufgrund der Art der Verarbeitung von Nutzereingaben Schadcode ausführen (ACL, Flexi Access und Forum Access). Wie Attacken im Detail ablaufen könnten, ist zum jetzigen Zeitpunkt nicht bekannt.
Liste nach Bedrohungsgrad absteigend sortiert:
- Forum Access - Critical - Arbitrary PHP code execution
- ACL - Critical - Arbitrary PHP code execution
- Flexi Access - Critical - Arbitrary PHP code execution
- Shorthand - Critical - Access bypass
- SafeDelete - Moderately critical - Access bypass
- Data field - Moderately critical - Access bypass
- Config Pages - Moderately critical - Information Disclosure
(des)
