Drupal 7.60 – 8.58 – 8.6.2 Security Release

Das CMS Drupal wurde vor wenigen Tagen aktualisiert. In den aktuellen Zweigen 7.6, 8.5 und 8.6 gibt es mehrere Sicherheitsprobleme. In dem entsprechenden Security advisories werden gleich 5 Lücken beschrieben, die zum Teil kritisch sind.

Drupal 7.60 – 8.58 – 8.6.2 – Release Notes

  1. Content moderation – Moderately critical – Access bypass – Drupal 8
    Unter bestimmten Umständen schlägt die Überprüfung auf Moderationsrechte fehl, sodass Benutzer mehr Rechte erhalten
  2. External URL injection through URL aliases – Moderately Critical – Open Redirect – Drupal 7 and Drupal 8
    Ein Fehler im Path-Modul erlaubt es Benutzern eine gefährliche URL einzugeben
  3. Anonymous Open Redirect – Moderately Critical – Open Redirect – Drupal 8
    Bei der Weiterleitung von Benutzern, nach bestimmten Aktionen, kann ein Angreifer diese Weiterleitung ausnutzen und Bentuzer auf eine andere Webseite leiten.
  4. RedirectResponseSubscriber event handler removal
    Die “\Drupal\Core\EventSubscriber\RedirectResponseSubscriber::sanitizeDestination” Klasse wurde entfernt, da sie unzureichend prüft und somit nicht für die notwenidge Sicherheit sorgt.
  5. Injection in DefaultMailSystem::mail() – Critical – Remote Code Execution – Drupal 7 and Drupal 8
    Die Prüfung von E-Mails ist nicht ausreichend, sodass Remote-Code-Execution möglich ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.