Mangelhafte Eingangsvalidierung trägt dazu bei, dass ältere Versionen von Drupal anfällig für Angriffe sind. Wenn bestimmte Bedingungen erfüllt sind können Angreifer über Websites die mit Drupal erstellt wurden Schadcode in den Webbrowser der Nutzer einbringen. Weitere Angriffsmöglichkeiten sind ähnlich wie denkbar. Es gibt Sicherheitspatches – diese stehen zur Verfügung.
Gefährdung durch Webbrowser-Schadcode-Attacken
Eine aktuelle Warnung zeigt, dass lediglich Drupal 7 mit aktivem Overlay-Modul von dieser Schadcode-Attacke betroffen ist. Die Überprüfung der Nutzereingaben erfolgt in diesem Kontext unzureichend. Angreifer können durch eine Reflected-XSS-Attacke Schadcode im Webbrowser der Benutzer ausführen. Die Entwickler haben keine CVE-Nummer angegeben. Die Bedrohung wird als „kritisch“ eingestuft. Die Version Drupal 7.102 ist jedoch besser gewappnet.
Moderat kritische Schwachstellen
Die Mehrheit der verbleibenden Sicherheitslücken wird als „moderat kritisch“ eingestuft. In diesen Fällen kann es zu einer PHP-Code-Injektion kommen. Angreifer können dann eigenen Code ausführen. Ein weiteres Problem besteht darin, dass die Authentifizierung umgangen werden kann. Somit könnten Angreifer sich mit der E-Mail-Adresse eines anderen Nutzers anmelden. Diese Schwachstellen betreffen verschiedene Versionen von Drupal 7, 8, 10 und 11. Aktuell gibt es noch keine Hinweise auf laufende Angriffe.
Dringender Handlungsbedarf für Website-Administratoren
Website-Administratoren sollten unverzüglich aktiv werden. Die verfügbaren Sicherheitsupdates müssen installiert werden. Die Entwickler haben eine Liste der gegen die beschriebenen Angriffe geschützten Versionen veröffentlicht. Diese Liste ist nach Bedrohungsgrad absteigend sortiert.
### Sicherheitsupdates im Überblick
- Drupal core - Kritisch - Cross Site Scripting - SA-CORE-2024-005
- Node export - Moderat kritisch - Arbitrary PHP code execution - SA-CONTRIB-2024-061
- Mailjet - Moderat kritisch - Arbitrary PHP code execution - SA-CONTRIB-2024-062
- Drupal core - Moderat kritisch - Gadget chain - SA-CORE-2024-008
- Eloqua - Moderat kritisch - Arbitrary PHP code execution - SA-CONTRIB-2024-063
- Drupal core - Moderat kritisch - Gadget chain - SA-CORE-2024-007
- Drupal core - Moderat kritisch - Cross Site Scripting - SA-CORE-2024-003
- Drupal core - Moderat kritisch - Access bypass - SA-CORE-2024-004
- Drupal core - Weniger kritisch - Gadget chain - SA-CORE-2024-006
Die Wichtigkeit, rechtzeitig Sicherheitsupdates zu installieren ist unbestritten. So kann das Risiko von Angriffen erheblich minimiert werden.
Kommentare