Sicherheitslücke: Datenleaks auf Drupal-Websites möglich
Unter bestimmten Voraussetzungen können Angreifer mit dem Content Management System Drupal erstellte Seiten attackieren. Abgesicherte Versionen sind verfügbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Das Content-Management-System (CMS) Drupal ist verwundbar und Angreifer könnten auf Websites auf eigentlich unzugängliche Informationen zugreifen.
Ist eine Attacke erfolgreich, können sie sich höhere Nutzerrechte verschaffen, warnen die Entwickler in einem Beitrag. Sie stufen das Risiko als „kritisch“ ein. Eine CVE-Nummer der Sicherheitslücke taucht im Beitrag nicht auf.
Nutzerrechte hochstufen
Mit dem CMS erstellte Internetseiten sind aber nur angreifbar, wenn das JSON:API-Modul aktiv ist. Dann sollen Angreifer ohne Authentifizierung zuschlagen und im Zuge von bestimmten Konfigurationen auf sensible Informationen zugreifen können. Den Entwicklern zufolge sollen Attacken aber komplex sein. Wie so ein Angriff aussehen könnte, führen sie derzeit nicht aus.
Der Core REST und GraphQL-Module sollen von der Schwachstelle nicht betroffen sein. Bis zum jetzigen Zeitpunkt wurden keine Attacken dokumentiert. Drupal 7 soll von der Lücke nicht betroffen sein. Abgesichert sind die Versionen 9.5.11, 10.0.11 und 10.1.4. Für alle vorigen Ausgaben ist der Support ausgelaufen und sie bekommen keine Sicherheitsupdates mehr.
(des)
