Drupal: Update schließt Cross-Site-Scripting-Lücke in mehreren CMS-Versionen
Die Programmbibliothek CKEditor, die vom Drupal-Core verwendet wird, barg unter bestimmten Umständen Angriffsmöglichkeiten. Für Core & Library gibt es Updates.
(Bild: heise online (Collage))
Nutzer des Content-Management-Systems (CMS) Drupal in den Versionen 8.9, 9.0 oder 9.1 sollten, soweit noch nicht geschehen, ein Update vornehmen: Die Drittanbieter-Library "CKEditor" wies einen Fehler beim Parsen von HTML auf, den Angreifer für Cross-Site-Scripting-Angriffe hätten ausnutzen können. Die Risikobewertung lautet "Moderately Critical".
Im Drupal-Advisory SA-CORE-2021-003 wird die Gefahr insofern eingeschränkt, als dass Angriffe nur auf Websites mit aktiviertem CKEditor möglich seien.
Videos by heise
Updates für Drupal Core und CKEditor
Die Drupal-Versionen 8.9.16, 9.0.14 und 9.1.9 sichern den Drupal-Core ab. Das Drupal-Team weist allerdings darauf hin, dass die fehlerhafte CKEditor-Version auch in separaten Drupal-Modulen wie dem WYSIWYG-Modul für Drupal 7 zum Einsatz kommen kann. Somit sollten Nutzer Ausschau nach weiteren Aktualisierungen halten. Analog dazu sollten Entwickler zugunsten der Sicherheit künftig auf reparierte CKEditor-Versionen ab 4.16.1 vom 20. Mai setzen.
(ovw)
