Wer seine Seiten als Website-Admin mit dem Content Management System (CMS) Drupal 7 erstellt hat, sollten jetzt dringend das soeben erschienene Sicherheitsupdate von Drupal installieren. Ansonsten könnten böswillige Angreifer die Besucher seiner Internetseiten ganz einfach auf eine von ihnen erstellte Website umleiten.
In ihrer Sicherheitswarnung stufen die Drupal-Entwickler auch das Angriffsrisiko, das von der Lücke ausgeht, nur als „moderat kritisch“ ein. Vermutlich wurde deshalb auch noch keine CVE-Nummer zur Kennzeichnung der Schwachstelle vergeben.
Bei der Schwachstelle handelt es sich um eine sogenannte Open-Redirect-Lücke, die nur in Drupal 7 steckt. Wenn ein Angriff erfolgreich ist, könnten die Angreifer das Opfer – also einen Besucher Ihrer Website – auf eine von ihnen kontrollierte Internet-Seite locken. Das könnte wegen der unzureichenden Überprüfung des Destination-Abfrage-Parameters drupal_goto() zum Beispiel über einen entsprechend präparierten Link geschehen. Die ist gegen das Problem abgesichert.