Sicherheits-Update für CMS Drupal
Angreifer konnten Anwendern beliebigen JavaScript-Code unterjubeln und so Nutzerdaten ausspähen.
Neue Versionen des Open-Source Content-Management-Systems Drupal sollen drei Fehler beheben, über die Angreifer Anwendern beliebigen JavaScript-Code unterjubeln können. Die Cross-Site-Scripting-Schwachstellen beruhen etwa auf Lücken im XML-Parser sowie den aggregator-, profile-, und forum-Modulen. Unter anderem kann ein Angreifer Nutzerdaten ausspähen. Die Fehler sind in den Versionen 4.6.10 und 4.7.4 behoben. Die Entwickler stellen zudem Patches bereit. Neben den XSS-Schwachstellen wurden auch einige nicht sicherheitsrelevante Fehler beseitigt.
Siehe dazu auch: (dab)
- Drupal 4.7.4 and 4.6.10 released, Fehlerbericht von Drupal.org
