Sicherheitsupdates: Angreifer könnten Drupal-Webseiten ein bisschen umbauen

Nutzer von Drupal sollten zügig die aktuellen Versionen installieren. In diesen haben die Entwickler mehrere Sicherheitslücken geschlossen.

In Pocket speichern vorlesen Druckansicht
Sicherheitsupdate: Angreifer könnten Drupal-Webseiten umbauen
Lesezeit: 1 Min.

Alle Ausgaben des Versionsstrangs 8.x des Content-Management-Systems Drupal sollen verwundbar sein. Eine der drei Sicherheitslücken gilt als kritisch, warnen die Entwickler. Die abgesicherte Version 8.3.7 steht zum Download bereit.

Nutzen Angreifer die kritischste Lücke (CVE-2017-6925) aus, sollen sie über einen nicht näher beschriebenen Weg auf das Entity-System zugreifen können. Darüber können sie dann zum Beispiel Kommentare und Nutzer für eine Webseite erstellen, führen die Entwickler aus. Das betreffe aber nur Entitäten, die keine UUIDs aufweisen oder bei denen Revisionen nicht geschützt sind.

Die zwei weiteren Schwachstellen stufen die Entwickler als "moderat kritisch" ein. Eine klafft im Views-Modul. Damit lassen sich etwa Inhalte auf Webseiten verwalten. Kommt dabei Ajax zum Einsatz, könnten Angreifer an der Lücke (CVE-2017-6923) ansetzen und so auf Inhalte zugreifen. Davon ist auch Drupal 7.x bedroht. Die Version 7.x-3.17 ist abgesichert.

Aufgrund einer Schwachstelle (CVE-2017-6924) in der REST API ist es vorstellbar, dass Angreifer ohne vom Webseiten-Betreiber abgesegnet Kommentare posten könnten. (des)