Passwortschutz umgehbar: Drupal-Modul Protected Pages verwundbar
Angreifer könnten auf eigentlich durch Passwörter abgeschottete Drupal-Websites zugreifen. Ein Sicherheitsupdate ist verfügbar.
Eigentlich soll das Modul Protected Pages mit dem Content-Management-System (CMS) Drupal erstellte Websites über Passwörter absichern, doch Angreifer sollen den Passwortschutz umgehen können. Eine dagegen abgesicherte Version steht zum Download bereit.
Admins, die Protected Pages für Drupal 8, 9 oder 10 nutzen, sollten zeitnah die reparierte Ausgabe 8.x-1.6 installieren. Das geht aus einer Warnmeldung der CMS-Entwickler hervor. Setzen Angreifer an der Schwachstelle an, eine CVE-Nummer wurde offensichtlich bislang nicht vergeben, könnten sie den Passwortschutz auf einem nicht näher ausgeführten Weg umgehen und auf Seiteninhalte zugreifen. Drupal schätzt das Sicherheitsrisiko als "kritisch" ein.
(des)