Drupal-Sicherheitslücke könnte Angreifern die Systemübernahme ermöglichen

Im Content-Management-System Drupal klafft eine Sicherheitslücke, die Angreifern ermöglicht, die Kontrolle über verwundbare Systeme zu übernehmen. Davor warnt die US-amerikanische Cyber-Sicherheitsbehörde CISA derzeit. Aktualisierte Software zum Abdichten der Schwachstelle steht bereit.

Die Sicherheitslücke erlaube das Umgehen von Zugriffsbeschränkungen und betreffe mehrere Drupal-Versionen, fasst die CISA knapp in einer Warnungsmeldung zusammen. Administratoren und Nutzer von Drupal sollten die nötigen Updates anwenden, rät die Behörde weiter.

Drupal: Angriffsvektor Cross-Site-Scripting

Die Schwachstelle basiert darauf, dass der Drupal Core eine Seite mit den weitreichenden Informationen bereitstellt, die phpinfo() auswirft. Die dient der Diagnose der PHP-Systemkonfiguration. Sie ist zwar nicht direkt zugreifbar, jedoch könnten Angreifer Zugang zu den Informationen erlangen, wenn sie einen Cross-Site-Scripting-Angriff gegen Nutzer mit erhöhten Rechten ausführen können.

Einen CVE-Eintrag hat die Schwachstelle noch nicht erhalten. Das Drupal-Projekt stuft die Lücke als moderates Risiko ein. Aktualisierte Software-Stände des CMS dichten das Sicherheitsleck jedoch ab. Für Drupal 10.0 ist das Version 10.0.5, für Drupal 9.5 die Fassung 9.5.5, für Drupal 9.4 der Stand 9.4.12 und für Drupal 7 die Fassung 7.95. Die Entwickler weisen darauf hin, dass alle Versionen von Drupal 9 vor 9.4 am End-of-Life angekommen seien und keine Sicherheitsaktualisierungen mehr erhalten. Drupal 8 habe ebenfalls sein End-of-Life erreicht. IT-Verantwortliche sollten gegebenenfalls auf eine unterstützte Drupal-Version aktualisieren und die bereitstehenden Updates zeitnah anwenden.

Zuletzt musste das Drupal-Projekt im vergangenen November Schwachstellen schließen, durch die damit erstellte Webseiten verwundbar waren. Angreifer hätten dadurch unbefugt auf eigentlich abgeschottete Daten zugreifen können.

(dmk)