Sicherheitsupdates: Angreifer könnten Drupal-Websites ins Visier nehmen

Admins von Drupal-Websites sollten das Content-Management-System (CMS) aus Sicherheitsgründen auf den aktuellen Stand bringen. Gegen Attacken abgesicherte Ausgaben mit einer reparierten jQuery-UI-Erweiterung sind für verschiedene Versionsstränge von Drupal 7 und 9 erschienen. Mit der Erweiterung kann man unter anderem Benutzeroberflächen gestalten.

Alle fünf Sicherheitslücken sind mit dem Bedrohungsgrad “mittel” eingestuft. Angreifer könnten an den Schwachstellen für XSS-Attacken einsetzen. Klappt das, könnten sie erreichen, dass nicht vertrauenswürdiger Code ausgeführt wird. Ob es sich um eine persistente XSS-Attacke handelt, geht aus den beiden Warnmeldungen (1, 2) nicht hervor. Solche Fälle sind noch gefährlicher, weil sich der Schadcode auf dem Webserver einnistet und bei jedem Besuch der Website ausgeführt wird.

Die Entwickler geben an, dass die gegen solche Angriffe gerüstete jQuery-UI-Version 1.13.0 in Drupal 7.86, 9.2.11 und 9.3.3 implementiert ist. Drupal 8 und vor 9.2.x bekommen keinen Support und somit keine Sicherheitsupdates mehr.

(des)