Drupal 7.60 – 8.58 – 8.6.2 Security Release

Drupal Logo

Das CMS Drupal wurde vor wenigen Tagen aktualisiert. In den aktuellen Zweigen 7.6, 8.5 und 8.6 gibt es mehrere Sicherheitsprobleme. In dem entsprechenden Security advisories werden gleich 5 Lücken beschrieben, die zum Teil kritisch sind.

Drupal 7.60 – 8.58 – 8.6.2 – Release Notes

  1. Content moderation – Moderately critical – Access bypass – Drupal 8
    Unter bestimmten Umständen schlägt die Überprüfung auf Moderationsrechte fehl, sodass Benutzer mehr Rechte erhalten
  2. External URL injection through URL aliases – Moderately Critical – Open Redirect – Drupal 7 and Drupal 8
    Ein Fehler im Path-Modul erlaubt es Benutzern eine gefährliche URL einzugeben
  3. Anonymous Open Redirect – Moderately Critical – Open Redirect – Drupal 8
    Bei der Weiterleitung von Benutzern, nach bestimmten Aktionen, kann ein Angreifer diese Weiterleitung ausnutzen und Bentuzer auf eine andere Webseite leiten.
  4. RedirectResponseSubscriber event handler removal
    Die “\Drupal\Core\EventSubscriber\RedirectResponseSubscriber::sanitizeDestination” Klasse wurde entfernt, da sie unzureichend prüft und somit nicht für die notwenidge Sicherheit sorgt.
  5. Injection in DefaultMailSystem::mail() – Critical – Remote Code Execution – Drupal 7 and Drupal 8
    Die Prüfung von E-Mails ist nicht ausreichend, sodass Remote-Code-Execution möglich ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.