Sicherheitsupdate für CMS: Drupal anfällig für Remote Code Execution
Die Drupal-Entwickler haben zwei Sicherheitslücken in mehreren Versionen des Content Management Systems geschlossen.
Mit dem CMS Drupal erstellte Websites sind verwundbar. Stimmen die Voraussetzungen, könnten Angreifer Schadcode auf Server bringen und ausführen. Admins sollten die reparierten Ausgaben zeitnah installieren.
Wie aus Warnmeldungen hervorgeht, haben die Entwickler beide Lücken (CVE-2020-13663, CVE-2020-13664) als "kritisch" eingestuft. Für eine Attacke muss ein Opfer aber mitspielen: Bringt ein Angreifer Admins von Drupal-Websites dazu, eine präparierte Website zu besuchen, könnten sich Angreifer auf Server schleichen und Schadcode ausführen. Davon sollen am ehesten Windows-Server betroffen sein.
Die zweite Schwachstelle könnten Angreifer für eine CSRF-Attacke missbrauchen und diese womöglich als Ausgangspunkt für weitere Angriff nutzen. Abgesichert sind die Drupal-Versionen 7.72, 8.8.8, 8.9.1 und 9.0.1.
Liste nach Bedrohungsgrad absteigend sortiert:
(des)
