Drupal-Modul offen für Spammer
Nach Angaben der Entwickler filtert das Modul form-mail Linefeeds und Carriage Returns aus E-Mail-Header nicht aus, so dass sich darüber eventuell die Header ausgehender Mails manipulieren lassen
Ein Update für das optionale Form-Mail-Modul des CMS Drupal soll verhindern, dass Angreifer das System als Spamschleuder missbrauchen. Nach Angaben der Entwickler filtert das Modul form-mail Linefeeds und Carriage Returns in E-Mail-Headern nicht aus, so dass sich darüber eventuell die Header ausgehender Mails manipulieren lassen. Der Fehler ist in der Version 4.6.0 behoben. Laut Fehlerbericht ist Drupal-Core nicht von dem Problem betroffen. In früheren Versionen ließ sich der Mail-Header allerdings auch über Lücken im Core manipulieren.
Siehe dazu auch: (dab)
- Form_mail module allows arbitrary header injection, Fehlerbericht auf Drupal.org
