Drupal-Sicherheitslücke könnte Angreifern die Systemübernahme ermöglichen
Die US-Cyber-Sicherheitsbehörde CISA warnt vor einer Sicherheitslücke im Content-Management-System Drupal. Angreifer könnten verwundbare Systeme kapern.
Im Content-Management-System Drupal klafft eine Sicherheitslücke, die Angreifern ermöglicht, die Kontrolle über verwundbare Systeme zu übernehmen. Davor warnt die US-amerikanische Cyber-Sicherheitsbehörde CISA derzeit. Aktualisierte Software zum Abdichten der Schwachstelle steht bereit.
Die Sicherheitslücke erlaube das Umgehen von Zugriffsbeschränkungen und betreffe mehrere Drupal-Versionen, fasst die CISA knapp in einer Warnungsmeldung [1] zusammen. Administratoren und Nutzer von Drupal sollten die nötigen Updates anwenden, rät die Behörde weiter.
Drupal: Angriffsvektor Cross-Site-Scripting
Die Schwachstelle basiert darauf, dass der Drupal Core eine Seite mit den weitreichenden Informationen bereitstellt, die phpinfo()
auswirft. Die dient der Diagnose der PHP-Systemkonfiguration. Sie ist zwar nicht direkt zugreifbar, jedoch könnten Angreifer Zugang zu den Informationen erlangen, wenn sie einen Cross-Site-Scripting-Angriff gegen Nutzer mit erhöhten Rechten ausführen können.
Einen CVE-Eintrag hat die Schwachstelle noch nicht erhalten. Das Drupal-Projekt stuft die Lücke als moderates Risiko ein. Aktualisierte Software-Stände des CMS dichten das Sicherheitsleck jedoch ab. Für Drupal 10.0 ist das Version 10.0.5 [2], für Drupal 9.5 die Fassung 9.5.5 [3], für Drupal 9.4 der Stand 9.4.12 [4] und für Drupal 7 die Fassung 7.95 [5]. Die Entwickler weisen darauf hin, dass alle Versionen von Drupal 9 vor 9.4 am End-of-Life angekommen seien und keine Sicherheitsaktualisierungen mehr erhalten. Drupal 8 habe ebenfalls sein End-of-Life erreicht. IT-Verantwortliche sollten gegebenenfalls auf eine unterstützte Drupal-Version aktualisieren und die bereitstehenden Updates zeitnah anwenden.
Zuletzt musste das Drupal-Projekt im vergangenen November Schwachstellen schließen [6], durch die damit erstellte Webseiten verwundbar waren. Angreifer hätten dadurch unbefugt auf eigentlich abgeschottete Daten zugreifen können.
(dmk [7])
URL dieses Artikels:
https://www.heise.de/-7550599
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2023/03/17/drupal-releases-security-advisory-address-vulnerability-drupal-core
[2] https://www.drupal.org/project/drupal/releases/10.0.5
[3] https://www.drupal.org/project/drupal/releases/9.5.5
[4] https://www.drupal.org/project/drupal/releases/9.4.12
[5] https://www.drupal.org/project/drupal/releases/7.95
[6] https://www.heise.de/news/Sicherheitsupdate-Drupal-Angreifer-koennten-auf-Zugangsdaten-zugreifen-7282401.html
[7] mailto:dmk@heise.de
Copyright © 2023 Heise Medien