Sicherheitsupdates: Mit Drupal erstellte Website sind verwundbar
Sicherheitslücken in diversen Modulen des CMS Drupal gefährden damit erstellte Websites.
(Bild: Alfa Photo/Shutterstock.com)
Drupal-Admins sollten sicherstellen, dass die von ihnen genutzten Module des Content Management Systems (CMS) auf dem aktuellen Stand sind. Geschieht das nicht, können Angreifer Websites im schlimmsten Fall kompromittieren.
Attacken vorbeugen
Im Sicherheitsbereich der CMS-Website listen die Entwickler sieben im April geschlossene Softwareschwachstellen auf. Zwei Sicherheitslücken stufen sie als "kritisch" ein. Eine betrifft das Panels-Modul (CVE-2025-3474), über das Admins benutzerdefinierte Seiten erstellen können. Weil Berechtigungen nicht ausreichend kontrolliert werden, können Angreifer an dieser Stelle manipulierend eingreifen.
Dafür benötigen sie aber bestimmte Informationen einer Seite, die nicht im Quellcode einer Website verfügbar sind. Panels 8.x-4.9 ist abgesichert.
Die zweite kritische Lücke (CVE-2025-3131) betrifft das Modul ECA: Event, mit dem man Automationen festlegt. An dieser Stelle sind über eine CSRF-Attacke etwa Zugriffe auf eigentlich abgeschottete Informationen möglich. ECA 1.1.12, 2.0.16 und 2.1.7 sind mit Sicherheitsupdates versehen.
DarĂĽber hinaus gibt es noch Patches fĂĽr die Module Access Code, Gif Player Field, Obfuscate, TacJS und WEB-T. Ob es bereits Attacken gibt, ist derzeit unbekannt.
(des)
