Sicherheitsupdate: Attacken uff Drupal-Admins vorstellbar
Angreifer könnten mit dem CMS Drupal erstellte Websites attackieren. Insgesamt stufen die Entwickler dies Risiko denn “moderat ungelegen” ein.
Die beiden Schwachstellen (CVE-2021-41164 “hoch“, CVE-2021-41165 “mittel“) tangieren den in Drupal integrierten CKEditor. Websites sollen einer Warnmeldung zufolge im Kontrast dazu nur attackierbar sein, wenn jener CKEditor-Bibliothek zu Händen die WYSIWYG-Erledigung aktiviert ist. Ob dies standardmäßig jener Sachverhalt ist, geht aus jener Meldung nicht hervor.
Ist ebendiese Voraussetzung erfüllt, könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es vorstellbar, dass etwa Admins ins Visier von XSS-Attacken geraten. Die Versionen 8.9.20, 9.1.14 und 9.2.9 sollen gegen solche Angriffe abgesichert sein. Z. Hd. den Versionsstrang 9.1.x ist jener Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. Z. Hd. Drupal 8 ist es jener finale Sicherheitspatch. Da Drupal 7 den CKEditor nicht einsetzt, ist ebendiese Erteilung nicht betroffen.
(des)