CMS Drupal: Updates gegen kritische Lücken in drei Modulen verfügbar
Für die Module Modal Form, Apigee Edge und Easy Breadcrumb stehen wichtige Sicherheitsupdates bereit. Drupal-Nutzer sollten sie zeitnah aktualisieren.
(Bild: Drupal / heise online (Collage))
Das Drupal-Team hat am gestrigen Mittwoch drei Security-Advisories zu den CMS-Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb veröffentlicht. In ersterer steckt eine mit "Critical", in den beiden anderen eine mit "Moderately Critical" bewertete Sicherheitslücke. Die Modul-Entwickler haben Aktualisierungen veröffentlicht, die Drupal-User zügig einspielen sollten.
Unbefugte Zugriffe und Cross-Site-Scripting
Mit der kritischen Lücke in Modal Form befasst sich das Advisory SA-CONTRIB-2020-029. Angreifer, die den vollen Klassennamen ("fully-qualified class name") eines Formulars kennen, könnten, so heißt es in der Beschreibung, beliebig sowohl lesend als auch übermittelnd auf dieses zugreifen. Verwundbar sei die Version 8.x-1.x-dev. Nutzer, die Modal Form mit Drupal 8 oder 9 nutzen, sollten auf Version 8.x-1.2 umsteigen.
Die Advisories zu Apigee Edge und Easy Breadcrumb richten sich explizit an Drupal 8-Nutzer. Wer die verwundbare Version 8.x-1.x-dev eines der beiden Module nutzt, sollte auf 8.x-1.12 (Apigee Edge) beziehungsweise 8.x-1.13 (Easy Breadcrumb) aktualisieren.
Im Falle der verwundbaren Apigee Edge-Version könnten Angreifer unbefugt E-Mail-Adressen aus anderen Drupal-Accounts einsehen, sofern bestimmte Voraussetzungen (aktiviertes Apigee Edge Teams-Submodul, Nutzerrolle mit "Manage team members"-Erlaubnis) erfüllt sind. Bei Easy Breadcrumb sind unter bestimmten Umständen Cross-Site-Scripting-Angriffe mittels Editor-Eingaben möglich.
Weitere Details und Update-Hinweise nennen die Advisories:
(ovw)
