Drupal 8: Entwickler beseitigen mehrere kritische Lücken im Webform-Modul
Ein wichtiges Sicherheitsupdate soll verhindern, dass Angreifer aus der Ferne Schindluder mit Formularfunktionen treiben oder schädlichen Code ausführen.
(Bild: Drupal (Collage))
Wer unter Drupal 8 das Webform-Modul nutzt, um Formulare zu erstellen, sollte dieses so bald wie möglich auf den neuesten Stand bringen: Die Entwickler haben sieben Sicherheitslücken geschlossen, deren Schweregrad von "moderately critical" bis (in zwei Fällen) "critical" reicht.
Entfernte Angreifer könnten die Lücken, die unter anderem in mangelnden Validierungs- und Filtermechanismen der Formularfunktionen bestehen, beispielsweise ausnutzen, um JavaScript- und PHP-Code auszuführen. Nicht für alle Lücken sind Exploit-Möglichkeiten bekannt und teilweise ist eine vorherige Authentifizierung nötig.
Die abgesicherte Version Webform 8.x-5.11 steht als Update aus dem CMS heraus sowie als Download auf der Drupal-Website bereit.
Sicherheitslücken im Überblick
Nähere Details zu den Drupal-Sicherheitslücken sind folgenden, hier nach Schweregrad geordneten Advisories zu entnehmen:
- Webform - Critical - Remote Code Execution - SA-CONTRIB-2020-011
- Webform - Critical - Access bypass - SA-CONTRIB-2020-016
- Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-015
- Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-014
- Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-013
- Webform - Moderately critical - Access bypass - SA-CONTRIB-2020-012
- Webform - Moderately critical - Access bypass - SA-CONTRIB-2020-017
dfssfdsdfs
(ovw)
