Drupal: Update schließt Cross-Site-Scripting-Lücke in mehreren CMS-Versionen
Die Programmbibliothek CKEditor, die vom Drupal-Core verwendet wird, barg unter bestimmten Umständen Angriffsmöglichkeiten. Für Core & Library gibt es Updates.
(Bild: heise online (Collage))
Nutzer des Content-Management-Systems (CMS) Drupal in den Versionen 8.9, 9.0 oder 9.1 sollten, soweit noch nicht geschehen, ein Update vornehmen: Die Drittanbieter-Library "CKEditor" wies einen Fehler beim Parsen von HTML auf, den Angreifer für Cross-Site-Scripting-Angriffe hätten ausnutzen können. Die Risikobewertung lautet "Moderately Critical".
Im Drupal-Advisory SA-CORE-2021-003 wird die Gefahr insofern eingeschränkt, als dass Angriffe nur auf Websites mit aktiviertem CKEditor möglich seien.
Updates für Drupal Core und CKEditor
Die Drupal-Versionen 8.9.16, 9.0.14 und 9.1.9 sichern den Drupal-Core ab. Das Drupal-Team weist allerdings darauf hin, dass die fehlerhafte CKEditor-Version auch in separaten Drupal-Modulen wie dem WYSIWYG-Modul für Drupal 7 zum Einsatz kommen kann. Somit sollten Nutzer Ausschau nach weiteren Aktualisierungen halten. Analog dazu sollten Entwickler zugunsten der Sicherheit künftig auf reparierte CKEditor-Versionen ab 4.16.1 vom 20. Mai setzen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)
