Drupal: Updates für mehrere Module schließen teils kritische Sicherheitslücken
Entwickler optionaler Module für das Content-Management-System Drupal haben Aktualisierungen veröffentlicht, die Angriffsmöglichkeiten beseitigen sollen.
(Bild: heise online (Collage))
Das Drupal-Team hat vergangene Woche insgesamt 12 Sicherheitshinweise zu optionalen Modulen externer Entwickler veröffentlicht. Sicherheitslücken in den Modulen Client-side Hierarchical Select, Commerce Core, Domain Group, File Extractor, SAML SP 2.0 SSO, Search API attachments, Taxonomy Manager, The Better Mega Menu und User hash ermöglichen Angriffe auf das Content-Management-System (CMS). Updates sind verfügbar und sollten zeitnah durchgeführt werden.
Vier der Lücken wurden als kritisch eingestuft. Unter bestimmten Voraussetzungen könnten Angreifer sie für unbefugte Zugriffe auf CMS-Inhalte (Domain Group, The Better Mega Menu) oder gar zur Codeausführung aus der Ferne (File Extractor, Search API attachments) missbrauchen. Die übrigen Sicherheitslücken wurden mit "Moderately Critical" bewertet und können als Angriffspunkte unter anderem für Cross-Site-Scripting, Code Injection und das Umgehen von Authentifizierungsmechanismen des CMS dienen.
Advisories im Überblick
Weitere Details und Informationen zu verfügbaren Updates sind den Advisories zu entnehmen:
- Client-side Hierarchical Select
- Commerce Core
- Domain Group
- File Extractor
- SAML SP 2.0 SSO
- Search API attachments
- Taxonomy Manager
- The Better Mega Menu ( 1 / 2 / 3 / 4)
- User hash
(ovw)