Das Content-Management-System (CMS) Drupal sollte von Administratoren auf die aktuelle Version aktualisiert werden. Für verschiedene Versionsstränge von Drupal 7 und 9 sind gegen Attacken abgesicherte Ausgaben veröffentlicht worden. Probleme in einer jQuery-UI-Erweiterung, die unter anderem die Gestaltung von Benutzungsoberflächen erlaubt, wurden dort behoben.

Insgesamt wurden fünf Sicherheitslücken mit der Risikoeinstufung "mittel" geschlossen. Infolge einer an den Schwachstellen erfolgreich durchgeführten XSS-Attacke sei es Angreifern möglich, nicht vertrauenswürdigen Code auszuführen. Den Warnmeldungen (SA-CORE-2022-001, SA-CORE-2022-002) ist nicht zu entnehmen, ob es sich um persistente XSS-Attacken handelt. Letztere gelten als besonders gefährlich, da der Schadcode dort auf dem Webserver eingenistet und bei jedem Besuch der Website ausgeführt wird.

Die jQuery-UI-Version 1.13.0, die gegen die Angriffe abgesichert sein soll, sei laut der Entwickler in Drupal 7.86, 9.2.11 und 9.3.3 implementiert. Der Support für Drupal 8 und vor 9.2.x ist bereits beendet, weswegen es hier keine Sicherheitsupdates mehr gibt.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE