Passwortschutz umgehbar: Drupal-Modul Protected Pages verwundbar
Angreifer könnten auf eigentlich durch Passwörter abgeschottete Drupal-Websites zugreifen. Ein Sicherheitsupdate ist verfügbar.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/1/4/0/8/7/4/shutterstock_1864224370-41968d807659e97c.jpeg)
(Bild: Tatiana Popova/Shutterstock.com)
Eigentlich soll das Modul Protected Pages mit dem Content-Management-System (CMS) Drupal erstellte Websites über Passwörter absichern, doch Angreifer sollen den Passwortschutz umgehen können. Eine dagegen abgesicherte Version steht zum Download bereit.
Admins, die Protected Pages für Drupal 8, 9 oder 10 nutzen, sollten zeitnah die reparierte Ausgabe 8.x-1.6 installieren. Das geht aus einer Warnmeldung der CMS-Entwickler hervor. Setzen Angreifer an der Schwachstelle an, eine CVE-Nummer wurde offensichtlich bislang nicht vergeben, könnten sie den Passwortschutz auf einem nicht näher ausgeführten Weg umgehen und auf Seiteninhalte zugreifen. Drupal schätzt das Sicherheitsrisiko als "kritisch" ein.
(des)