In dem weit verbreiteten Content Management System (CMS) Drupal stecken noch mehrere zum Teil als „kritisch“ eingestufte Sicherheitslücken.
Inzwischen sind aber auch schon fehlerbereinigte Versionen verfügbar. Weil Angreifer über diese Lücken die Kontrolle über solche Internetseiten erlangen könnten, sollte die Aktualisierung des CMS zügig erfolgen.
Die gepatchten Versionen
Die Entwickler des CMS haben die Schwachstellen in den Drupal-Versionen 7.60, 8.5.8 und 8.6.2 geschlossen. Wer noch ältere Versionen der Software einsetzt, sollte zumindest auf Version 8.5.x aktualisieren. Dieser Versionsstrang erhält den Entwicklern zufolge noch bis zum Mai 2019 Sicherheitsupdates – dann wird bei der nächsten Wartung sowieso ein Upgrade nötig.
Die kritischen Sicherheitslücken
In der Sicherheitswarnung findet man Infos zu den Lücken. Die als kritisch eingestuften Schwachstellen finden sich im Contextual-Links-validation-Modul und im Mailsystem DefaultMailSystem::mail() von Drupal. Aktuell ist noch nicht viel über die Angriffsszenarien dazu bekannt. Es heißt aber, dass allein schon der Versand von präparierten Mails zur Ausführung von Schadcode führen kann.