Drupal-Update verhindert Verschwinden von Besucher-Kommentaren
Das CMS ist verwundbar und Angreifer können unter anderem eigenen Code in Webbrowser schieben.
Im 8.x-Versionsstrang des CMS Drupal klaffen drei Sicherheitslücken, die der Anbieter mit der ab sofort verfügbaren Version 8.1.10 schließt. Insgesamt stuft das Drupal-Team die Schwachstellen mit dem zweithöchsten Bedrohungsgrad kritisch ein.
Über eine XSS-Lücke können Angreifer Besuchern von Webseiten eine präparierte URL servieren und so Code im Webbrowser ausführen. Im schlimmsten Fall könnten Angreifer so Systeme kapern. Zudem sei es möglich, dass Unbekannte über eine weitere Lücke die vollständige Konfigurations-Datei einer Drupal-Installation herunterladen.
Verfügt ein Angreifer über die notwendigen Rechte einen Knoten (Node) zu bearbeiten, kann er Kommentare die diesem Knoten zugehörig sind verschwinden lassen. Drupal speichert alle Inhalte wie Artikel, Blog-Einträge und Webseiten in Knoten. Diese Schwachstelle stuft der Anbieter in der aktuellen Sicherheits-Warnung mit dem geringsten Bedrohungsgrad ein. (des)
