Mit dem CMS Drupal erstelle Websites sind verwundbar. Angreifer könnten nach erfolgreichen Attacken unter anderem auf eigentlich abgeschottete Daten zugreifen. Außerdem haben die Entwickler eine Schwachstelle im S3-File-System-Modul geschlossen.

Am gefährlichsten gilt eine Sicherheitslücke (CVE-2022-39261 „hoch“) in der Twig-Bibliothek, über die das CMS beispielsweise Templates überprüft. Dafür gibt es mittlerweile einen Patch, der in Drupal 9.3.22 und 9.4.7 Einzug gefunden hat. Der Support für ältere Versionen ist ausgelaufen und diese Ausgaben bekommen keine Sicherheitsupdates mehr. Sind Attacken erfolgreich, könnten Angreifer unter anderem auf Datenbank-Zugangsdaten zugreifen.

Über eine Schwachstelle im S3-File-System-Modul sind unberechtigte Zugriffe vorstellbar. Hier schafft die Version 7.x-2.14 Abhilfe.

