zurück zum Artikel

Ein wichtiges Update schließt eine Schwachstelle in Svg Image für Drupal-Websites.

Wer auf seinen mit dem Content Management System (CMS) Drupal erstellten Websites das Modul Svg Image nutzt, sollte es aktualisieren. Ansonsten könnten Angreifer Seiten attackieren. Die Drupal-Entwickler stufen das Sicherheitsrisiko als "kritisch" ein.

Das Modul erlaubt Website-Besuchern den Upload von Svg-Dateien. Aufgrund einer unzureichenden Schutzprüfung könnten Angreifer mit Upload-Rechten Svg-Dateien mit Schadcode hochladen. Das endet in einer XSS-Attacke, schreiben die Entwickler in einer Warnmeldung [1].

Betroffen ist Drupal 8.x mit aktiviertem Svg-Image-Modul. Die Version 8.x-1.10 von Svg Image ist abgesichert. (des [2])

URL dieses Artikels:
https://www.heise.de/-4692007

Links in diesem Artikel:
[1] https://www.drupal.org/sa-contrib-2020-008
[2] mailto:des@heise.de

Copyright © 2020 Heise Medien