Das CMS Drupal wurde vor wenigen Tagen aktualisiert. In den aktuellen Zweigen 7.6, 8.5 und 8.6 gibt es mehrere Sicherheitsprobleme. In dem entsprechenden Security advisories werden gleich 5 Lücken beschrieben, die zum Teil kritisch sind.
Drupal 7.60 – 8.58 – 8.6.2 – Release Notes
- Content moderation – Moderately critical – Access bypass – Drupal 8
Unter bestimmten Umständen schlägt die Überprüfung auf Moderationsrechte fehl, sodass Benutzer mehr Rechte erhalten - External URL injection through URL aliases – Moderately Critical – Open Redirect – Drupal 7 and Drupal 8
Ein Fehler im Path-Modul erlaubt es Benutzern eine gefährliche URL einzugeben - Anonymous Open Redirect – Moderately Critical – Open Redirect – Drupal 8
Bei der Weiterleitung von Benutzern, nach bestimmten Aktionen, kann ein Angreifer diese Weiterleitung ausnutzen und Bentuzer auf eine andere Webseite leiten. - RedirectResponseSubscriber event handler removal
Die “\Drupal\Core\EventSubscriber\RedirectResponseSubscriber::sanitizeDestination” Klasse wurde entfernt, da sie unzureichend prüft und somit nicht für die notwenidge Sicherheit sorgt. - Injection in DefaultMailSystem::mail() – Critical – Remote Code Execution – Drupal 7 and Drupal 8
Die Prüfung von E-Mails ist nicht ausreichend, sodass Remote-Code-Execution möglich ist.