Sicherheitsupdates: Drupal-Module für Attacken anfällig

Wer das Content Management System (CMS) Drupal mit den Modulen "Menu Item Extra" oder "Workflow" nutzt, sollte die Module auf den aktuellen Stand bringen. Ansonsten könnten Angreifer mit dem CMS gebaute Websites attackieren. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik CERT Bund stuft das Angriffsrisiko als "hoch" ein.

Aufgrund von mangelnden Überprüfungen von Eingaben könnten Angreifer CSRF- und XSS-Attacken ausführen. Dafür müssten sie jedoch je nach Modul über die Berechtigungen "administrator nodes", "administrator menu" oder "administrator workflow" verfügen. Weitere Infos zu den Lücken erläutern die Entwickler in zwei Sicherheitswarnungen zu Menu Item Extras und Workflow.

Abgesichert sind die Versionen Menu Item Extras 8.x-2.5 für Drupal 8.x und Workflow 7.x-2.12 für Drupal 7.x. (des)