Sollten Sie das Content Management System (CMS) Drupal mit einem der Module „Menu Item Extra“ oder „Workflow“ benutzen, sollten Sie die beiden Module dringend auf den aktuellen Stand bringen.
Denn sonst könnten böswillige Angreifer Internetseiten, die mit dem CMS gebaut wurden, erfolgreich angreifen. Vom Notfallteam des Bundesamt für Sicherheit in der Informationstechnik CERT Bund wurde das Angriffsrisiko als „hoch“ eingestuft.
Details zu möglichen Angriffen
Weil es in beiden Modulen an Überprüfungen der Eingaben fehlt, könnten Angreifer sowohl CSRF- als auch XSS-Attacken durchführen. Für einen erfolgreichen Angriff müssten sie aber je nach Modul über die Berechtigungen „administrator nodes“, „administrator menu“ oder „administrator workflow“ verfügen. Weiter e Infos zu den Lücken erläutern die Entwickler in zwei Sicherheitswarnungen zu Menu Item Extras und Workflow.
Abhilfe schafft die Installation der aktuellsten Versionen Menu Item Extras 8.x-2.5 für Drupal 8.x und Workflow 7.x-2.12 für Drupal 7.x.