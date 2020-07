Das Drupal-Team hat am gestrigen Mittwoch drei Security-Advisories zu den CMS-Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb veröffentlicht. In ersterer steckt eine mit "Critical", in den beiden anderen eine mit "Moderately Critical" bewertete Sicherheitslücke. Die Modul-Entwickler haben Aktualisierungen veröffentlicht, die Drupal-User zügig einspielen sollten.

Unbefugte Zugriffe und Cross-Site-Scripting

Mit der kritischen Lücke in Modal Form befasst sich das Advisory SA-CONTRIB-2020-029. Angreifer, die den vollen Klassennamen ("fully-qualified class name") eines Formulars kennen, könnten, so heißt es in der Beschreibung, beliebig sowohl lesend als auch übermittelnd auf dieses zugreifen. Verwundbar sei die Version 8.x-1.x-dev. Nutzer, die Modal Form mit Drupal 8 oder 9 nutzen, sollten auf Version 8.x-1.2 umsteigen.

Die Advisories zu Apigee Edge und Easy Breadcrumb richten sich explizit an Drupal 8-Nutzer. Wer die verwundbare Version 8.x-1.x-dev eines der beiden Module nutzt, sollte auf 8.x-1.12 (Apigee Edge) beziehungsweise 8.x-1.13 (Easy Breadcrumb) aktualisieren.

Im Falle der verwundbaren Apigee Edge-Version könnten Angreifer unbefugt E-Mail-Adressen aus anderen Drupal-Accounts einsehen, sofern bestimmte Voraussetzungen (aktiviertes Apigee Edge Teams-Submodul, Nutzerrolle mit "Manage team members"-Erlaubnis) erfüllt sind. Bei Easy Breadcrumb sind unter bestimmten Umständen Cross-Site-Scripting-Angriffe mittels Editor-Eingaben möglich.

Weitere Details und Update-Hinweise nennen die Advisories:

(ovw)