Sicherheitsupdates: Mehrere LĂĽcken in Drupal geschlossen
In aktualisierten Versionen haben die Drupal-Entwickler Schwachstellen geschlossen. Der Bedrohungsgrad gilt als "mittelschwer".
Das Content Management System (CMS) Drupal ist über drei Sicherheitslücken (CVE-2019-10909, CVE-2019-10910, CVE-2019-10911) angreifbar. Außerdem haben die Entwickler sich um eine Schwachstelle in der JavaScript-Bibliothek jQuery gekümmert. Diese für Angreifer möglichen Ansatzpunkte sind nun in aktuellen Version des CMS geschlossen.
Ist ein Übergriff erfolgreich, könnten Angreifer unter Umständen Cookies modifizieren, um sich anzumelden, XSS-Attacken ausführen oder sogar Schadcode auf Servern ablegen. Das Drupal-Team stuft den Schweregrad der Lücken als "mittelschwer" ein. Weitere Infos haben sie in einer Warnung zusammengetragen.
DarĂĽber hinaus haben die Entwickler als VorsichtsmaĂźnahme den Umgang mit der jQuery.extend()-Funktion angepasst. Weitere Details dazu findet man in einem Beitrag. Abgesichert sind die Drupal-Versionen 7.66, 8.5.15 und 8.6.15. (des)