Vom Content-Management-System Drupal sollen alle Ausgaben des Versionsstrangs 8.x verwundbar sein. Die Entwickler warnen, dass eine der drei Sicherheitslücken als kritisch eingestuft wurde. Drupal 8.3.7, die abgesicherte Version, steht nun zum Download bereit.

Über einen nicht näher beschriebenen Weg sollen Angreifer über die kritischste Lücke (CVE-2017-6925) auf das Entity-System zugreifen können. Für eine Webseite können die Angreifer dann beispielsweise Kommentare und Nutzer erstellen; allerdings betreffe das nur Entitäten, die keine UUIDs aufweisen oder bei denen Revisionen nicht geschützt sind, wie der Entwickler mitteilt.

Die Entwickler stufen die zwei weiteren Schwachstellen als "moderat kritisch" ein. Im Views-Modul, mit dem sich Inhalte auf Webseiten verwalten lassen, steckt eine der Lücken. Wird dabei Ajax eingesetzt, könnten Angreifer an der Lücke (CVE-2017-6923) ansetzen und so auf Inhalte zugreifen. Von dieser Schwachstelle ist auch Drupal 7.x bedroht. Abgesichert ist die Version 7.x-3.17.

Die letzte Schwachstelle (CVE-2017-6924) befindet sich in der REST API. Angreifer könnten darüber ohne vom Webseiten-Betreiber abgesegnete Kommentare posten.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE