Alert!

Sicherheitsupdates: Drupal-Websites könnten Schadcode in Browser schießen

Mit dem CMS Drupal erstellte Websites sind über kritische Sicherheitslücken angreifbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 8 Beiträge

(Bild: Artur Szczybylo/Shutterstock.com)

Von
  • Dennis Schirrmacher

Web-Admins, die Drupal einsetzen, sollten das Content Management System (CMS) auf den aktuellen Stand bringen. Die Entwickler haben abgesicherte Versionen veröffentlicht, in denen sie mehrere Schwachstellen geschlossen haben.

Am gefährlichsten gilt eine als "kritisch" eingestufte refected XSS-Lücke (CVE-2020-13668). Klappt eine Attacke, könnten Angreifer Skripte mit Schadcode auf verwundbaren Websites hinterlegen. Bei einem Besuch führt der Webbrowser eines Opfers den Code aus.

Davon sind Drupal 8 und 9 bedroht. In den Versionen 8.8.10, 8.9.6 und 9.0.6 haben die Entwickler die Schwachstelle geschlossen. Für ältere Versionen als 8.8.x ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr.

Die weiteren Sicherheitslücken sind als "moderat kritisch" eingestuft. Dort könnten Angreifer für weitere XSS-Attacken ansetzen, Zugangsbeschränkungen umgehen oder Daten leaken.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)