Jetzt patchen: Schwerwiegende Lücken gefährden Drupal-Webseiten
Angreifer können als kritisch eingestufte Lücke in Drupal ausnutzen, um Webseiten zu kapern. Die Gefahr geht von Zusatz-Modulen aus, die nicht standardmäßig installiert sind.
Der Versionsstrang 7.x des Content Management System (CMS) Drupal ist aufgrund von zwei als besonders kritisch eingestuften Sicherheitslücken gefährdet; eine weitere Lücke ordnen die Entwickler immer noch als kritisch ein; ein Angriff sei aber nicht ohne Weiteres möglich. Sicherheits-Updates stehen zum Download bereit.
Die Lücken klaffen jeweils in verschiedenen Modulen, welche nicht standardmäßig mit an Bord des CMS sind. Gefährdet sind rund 14.000 Drupal-Webseiten, auf denen Admins verwundbare Module installiert haben; insgesamt weist Drupal 15 Millionen Downloads auf.
Die Drupal-Entwickler warnen, dass Angreifer ohne Authentifizierung aus der Ferne über manipulierte Anfragen Schad-Code auf betroffene Webseiten schieben und ausführen können. Im schlimmsten Fall sollen Angreifer in der Lage sein, komplette Seiten zu übernehmen.
Am kritischen gilt die Lücke im RESTWS-Modul, welches Rest APIs erzeugen kann. Das Coder-Modul ist den Drupal-Entwicklern zufolge auch extrem anfällig für die Injektion von Schad-Code; das Modul müsse für einen Angriff noch nicht einmal aktiviert sein.
Weniger kritisch, trotzdem gefährlich
Den Bedrohungsgrad der Lücke im Modul Webform Multiple File Upload stuft das Drupal-Team auch als kritisch ein. Für einen Übergriff müssen Angreifer jedoch über die Rechte verfügen, ein Webformular mit verschiedenen Eingabefeldern übermitteln zu können. (des)
