Durch ein wichtiges Sicherheitsupdate soll verhindert werden, dass Angreifer aus der Ferne mit Formularfunktionen von Drupal spielen oder sogar schädlichen Code ausführen.
Wenn Sie unter Drupal 8 das Webform-Modul nutzen, um Formulare zu erstellen, sollten Sie dieses so bald wie möglich auf den neuesten Stand bringen. Die Entwickler des CMS haben insgesamt sieben Sicherheitslücken geschlossen, deren Schweregrad von „moderately critical“ bis „critical“ reicht.
Angreifer könnten aus der Ferne die Lücken, die unter anderem in fehlenden Validierungs- und Filtermechanismen der Formularfunktionen bestehen, zum Beispiel ausnutzen, um JavaScript- oder PHP-Code auszuführen. Exploit-Möglichkeiten sind noch nicht für alle Lücken bekannt und zum Teil ist auch eine vorherige Authentifizierung nötig.
Die abgesicherte Version Webform 8.x-5.11 können Sie als Update aus dem CMS heraus sowie als Download auf der Drupal-Website bekommen.
Details zu den geschlossenen Sicherheitslücken
Zu den Drupal-Sicherheitslücken geben die nachstehenden, nach Schweregrad geordneten Advisories nähere Informationen:
- Webform – Critical – Remote Code Execution – SA-CONTRIB-2020-011
- Webform – Critical – Access bypass – SA-CONTRIB-2020-016
- Webform – Moderately critical – Cross site scripting – SA-CONTRIB-2020-015
- Webform – Moderately critical – Cross site scripting – SA-CONTRIB-2020-014
- Webform – Moderately critical – Cross site scripting – SA-CONTRIB-2020-013
- Webform – Moderately critical – Access bypass – SA-CONTRIB-2020-012
- Webform – Moderately critical – Access bypass – SA-CONTRIB-2020-017