Kritische Sicherheitslücke in Drupal-Modul Svg Image
Ein wichtiges Update schließt eine Schwachstelle in Svg Image für Drupal-Websites.
![Kritische Sicherheitslücke in Drupal-Modul Sag Image](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/8/6/9/7/4/0/drupal-0303a182bc41b8a7.png)
Wer auf seinen mit dem Content Management System (CMS) Drupal erstellten Websites das Modul Svg Image nutzt, sollte es aktualisieren. Ansonsten könnten Angreifer Seiten attackieren. Die Drupal-Entwickler stufen das Sicherheitsrisiko als "kritisch" ein.
Das Modul erlaubt Website-Besuchern den Upload von Svg-Dateien. Aufgrund einer unzureichenden Schutzprüfung könnten Angreifer mit Upload-Rechten Svg-Dateien mit Schadcode hochladen. Das endet in einer XSS-Attacke, schreiben die Entwickler in einer Warnmeldung.
Betroffen ist Drupal 8.x mit aktiviertem Svg-Image-Modul. Die Version 8.x-1.10 von Svg Image ist abgesichert. (des)