Alert!

Neue Version verfügbar: Drupal-Modul "Fast Autocomplete" verriet Suchergebnisse

Die Entwickler des Moduls "Fast Autocomplete" für das CMS Drupal (8.x und 9.x) haben eine als "Moderately Critical" eingestufte Schwachstelle gefixt.

In Pocket speichern vorlesen Druckansicht

(Bild: heise online (Collage))

Lesezeit: 1 Min.

Eine Aktualisierung für das Drupal-Modul "Fast Autocomplete" zur Vervollständigung von Suchanfragen beseitigt eine Schwachstelle, die als "Moderately Critical" eingestuft wurde. Unter bestimmten Voraussetzungen hätten unauthentifizierte Besucher von Websites auf Drupal-Basis die Schwachstelle missbrauchen können, um personalisierte Suchergebnisse anderer Nutzer abzurufen, auf die sie ansonsten keinen Zugriff gehabt hätten.

Ein Missbrauch der Schwachstelle hätte laut Security Advisory SA-CONTRIB-2021-005 allerdings vorausgesetzt, dass zuvor die Default-Einstellung der Option "Perform search as anonymous user only" (on) manuell auf off gestellt worden wäre. Tatsächliche Exploits in freier Wildbahn wurden indes nicht beobachtet.

Das verfügbare Schwachstellen-Update in Gestalt von Fast Autocomplete 8.x-1.8 gilt den Drupal-Versionen 8.x und 9.x; Fast Autocomplete für Drupal 7.x ist laut Advisory nicht betroffen.

Alternativ zur Update-Durchführung sei es auch möglich, die Option "Perform search as anonymous user only", sofern diese zuvor umgestellt wurde, wieder zurück auf "on" zu setzen und anschließend die Option "Delete json files" einmal auf alle "Fast Autocomplete"-Konfigurationen anzuwenden, heißt es im Advisory. Letztlich dürfte die sicherere und damit ratsamere Vorgehensweise aber sein, das Modul zügig auf den neuesten Stand zu bringen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(ovw)