Sicherheitsupdates: Mehrere Lücken in Drupal geschlossen

Das Content Management System (CMS) Drupal ist über drei Sicherheitslücken (CVE-2019-10909, CVE-2019-10910, CVE-2019-10911) angreifbar. Außerdem haben die Entwickler sich um eine Schwachstelle in der JavaScript-Bibliothek jQuery gekümmert. Diese für Angreifer möglichen Ansatzpunkte sind nun in aktuellen Version des CMS geschlossen.

Ist ein Übergriff erfolgreich, könnten Angreifer unter Umständen Cookies modifizieren, um sich anzumelden, XSS-Attacken ausführen oder sogar Schadcode auf Servern ablegen. Das Drupal-Team stuft den Schweregrad der Lücken als "mittelschwer" ein. Weitere Infos haben sie in einer Warnung zusammengetragen.

Darüber hinaus haben die Entwickler als Vorsichtsmaßnahme den Umgang mit der jQuery.extend()-Funktion angepasst. Weitere Details dazu findet man in einem Beitrag. Abgesichert sind die Drupal-Versionen 7.66, 8.5.15 und 8.6.15. (des)