Erneut Sicherheitslücken in CMS Drupal

Das Content-Management-System (CMS) Drupal enthält zwei Schwachstellen im Modul Project Issue Tracking, die Angriffe aus dem Netz ermöglichen. Beim Anlegen eines neuen Issues, können Daten hochgeladen werden. Da der Dateityp aber nur unzureichend geprüft wird, kann Benutzern JavaScript untergeschoben und in deren Browsern ausgeführt werden. Details zu dem Problem enthält der Fehlerbericht. Außerdem gibt es eine Cross-Site-Scripting-Lücke in der Darstellung der Zusammenfassung von Issue-States. Um diese auszunutzen, sind allerdings, nicht näher beschriebene Editor-Rechte notwendig. Die Sicherheitslecks betreffen mehrere Versionen und können durch Update auf 5.x-2.0, 5.x-1.3, 4.7.x-2.7 oder 4.7.x-1.7 geschlossen werden. Die nötigen Konfigurationsänderungen werden in den Original-Fehlerberichten beschrieben. Mitte Januar waren bereits mehrere Schwachstellen in Drupal und dem Zusatzmodul Metatags beseitigt worden.

0 Kommentar(e)

Zum Posten von Kommentaren bitte