Sicherheitsupdates: Drupal-Plug-ins mit Schadcode-Lücken

Alert! 28.08.2023 10:06 Uhr Dennis Schirrmacher

(Bild: Artur Szczybylo/Shutterstock.com)

Wenn bestimmte Plug-ins zum Einsatz kommen, sind mit dem CMS Drupal erstellte Websites attackierbar.

Mehrere Plug-ins für das Content Management System (CMS) Drupal weisen Schwachstellen auf. Im schlimmsten Fall kann Schadcode auf Websites gelangen. Sicherheitsupdates sind verfügbar.

Die abgesicherten Versionen

Wie aus den unterhalb dieses Beitrages verlinkten Warnmeldungen hervorgeht, sind weisen die folgenden Plug-ins Sicherheitsprobleme auf:

ACL abgesicherte Versionen 7.x-1.4, 8.x-1.0
Config Pages abgesicherte Version 8.x-2.9
Data field abgesicherte Version 1.0.16
Flexi Access abgesicherte Version 7.x-1.3
Forum Access abgesicherte Versionen 7.x-1.6, 8.x-1.0
SafeDelete abgesicherte Version 1.0.44
Shorthand abgesicherte Version 4.0.3

Kritische Schadcode-Lücken

Vier Sicherheitslücken stufen die Entwickler als „kritisch“ ein. Die CVE-Nummern werden in den Warnmeldungen nicht genannt. In diesen Fällen können Angreifer Zugangsbeschränkungen umgehen (Shorthand) oder aufgrund der Art der Verarbeitung von Nutzereingaben Schadcode ausführen (ACL, Flexi Access und Forum Access). Wie Attacken im Detail ablaufen könnten, ist zum jetzigen Zeitpunkt nicht bekannt.

Liste nach Bedrohungsgrad absteigend sortiert:

(des [8])

URL dieses Artikels:
https://www.heise.de/-9286388

Links in diesem Artikel:
[1] https://www.drupal.org/sa-contrib-2023-035
[2] https://www.drupal.org/sa-contrib-2023-034
[3] https://www.drupal.org/sa-contrib-2023-036
[4] https://www.drupal.org/sa-contrib-2023-038
[5] https://www.drupal.org/sa-contrib-2023-039
[6] https://www.drupal.org/sa-contrib-2023-040
[7] https://www.drupal.org/sa-contrib-2023-037
[8] mailto:des@heise.de