Die Entwickler des beliebten CMS Drupal, haben 5 Sicherheitslücken geschlossen und Updates in den Versionen 9.0.6, 8.9.6, 8.8.10 und 7.73, veröffentlicht

Bis auf vier Sicherheitslücken die als Moderately Critical eingestuft wurden, ist eine fünfte als höhere Einstufung critical kategorisiert. Das Drupal Update 7.73 tirfft allein auf die im SA-CORE-2020-007 beschriebene Lücke zu.

Drupal Sicherheitsupdate

• SA-Core-2020-007 - Moderately critical - 
  • CVE-2020-13666
  • Cross-site scripting
  • Die Drupal AJAX API hat JSONP nicht per se deaktiviert, sodass dies zu einem XSS Angriff führen kann. 
  • https://www.drupal.org/sa-core-2020-007

• SA-Core-2020-008
  • CVE-2020-13668
  • Cross-site scripting
  • Ein Angreifer kann die Art wie HTML Formulare gerendert werden ausnutzen und XSS Angriffe durchführen.
  • https://www.drupal.org/sa-core-2020-008

• SA-Core-2020-009
  • CVE-2020-13669
  • Cross-site scripting
  • Der im Drupal Core enthaltene CKEditor und dessen Bildfunktion ist per XSS angreifbar.
  • https://www.drupal.org/sa-core-2020-009

• SA-Core-2020-010
  • CVE-2020-13667
  • Access bypass
  • Das experiementelle Workspace Modul erlaubt es mehree Workspaces auf der Seite zu erstellen und zu bearbeiten bevor diese im live Workspace veröffentlicht werden. Das Modul prüft nur unzureichend die Berechtigungen wenn zwischen den Workspaces gewechselt wird, sodass dies zu einem Angriff führen kann. Ein Angreifer kann auf diese Weise den Inhalt noch bevor der Seitenbesitzer den Inhalt freigegeben hat, einsehen. Die Lücke kann nur ausgenutzt werden, wenn das experimentelle Workspace Modul installiert ist.
  • https://www.drupal.org/sa-core-2020-010

• SA-Core-2020-011
  • CVE-2020-13670
  • Information disclosure
  • Eine Lücke im Datei Modul erlaubt es einen Angreifer Metadaten von privaten Dateien einzusehen um so die ID der Datei herauszufinden.
  • https://www.drupal.org/sa-core-2020-011

Weitere Informationen finden Sie unter: https://www.drupal.org/security.