Drupal-Modul offen fĂĽr Spammer
Nach Angaben der Entwickler filtert das Modul form-mail Linefeeds und Carriage Returns aus E-Mail-Header nicht aus, so dass sich darĂĽber eventuell die Header ausgehender Mails manipulieren lassen
Ein Update fĂĽr das optionale Form-Mail-Modul des CMS Drupal soll verhindern, dass Angreifer das System als Spamschleuder missbrauchen. Nach Angaben der Entwickler filtert das Modul form-mail Linefeeds und Carriage Returns in E-Mail-Headern nicht aus, so dass sich darĂĽber eventuell die Header ausgehender Mails manipulieren lassen. Der Fehler ist in der Version 4.6.0 behoben. Laut Fehlerbericht ist Drupal-Core nicht von dem Problem betroffen. In frĂĽheren Versionen lieĂź sich der Mail-Header allerdings auch ĂĽber LĂĽcken im Core manipulieren.
Siehe dazu auch: (dab)
- Form_mail module allows arbitrary header injection, Fehlerbericht auf Drupal.org
