Sicherheitsupdates: Kritische Lücken in Drupal-Modulen
Wer auf seiner Drupal-Website die Module reCaptcha v3 oder Webform einsetzt, sollte die Module aktualisieren.
Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen mit dem Content Management System (CMS) Drupal 8.x erstellte Websites angreifbar. Die Drupal-Entwickler haben das Sicherheitsrisiko als "kritisch" eingestuft. Abgesicherte Versionen sind verfügbar.
Aufgrund einer fehlenden Überprüfung könnten Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage ungültige oder unvollständige Formulare übermitteln. Womit eine solche Attacke endet, führt Drupal in einer Sicherheitswarnung nicht weiter aus. Die Ausgabe 8.x-1.2 ist abgesichert.
Ein Fehler in Webforms führt dazu, dass Angreifer auf eigentlich unveröffentlichte Infos zugreifen könnten. Die Version 8.x-5.12 schafft das Sicherheitsproblem aus der Welt.
Liste nach Bedrohungsgrad absteigend sortiert:
- reCAPTCHA v3 - Critical - Access bypass - SA-CONTRIB-2020-019
- Critical - Access bypass - SA-CONTRIB-2020-018
(des)
