Zwei Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen Angriffe auf mit dem Content Management System (CMS) Drupal 8.x erstellte Internetseitem angreifbar. Deshalb haben die Drupal-Entwickler das Sicherheitsrisiko als “kritisch” bewertet. Inzwischen sind aber abgesicherte Versionen sind verfügbar.

Die reCaptcha-Lücke

Wegen einer fehlenden Überprüfung könnten kriminelle Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage entweder ungültige oder unvollständige Formulare auf den Server übertragen.

Wo genau das Ziel eines solchen Angriffs liegt, führt Drupal in seiner Sicherheitswarnung dazu leider nicht weiter aus. Die abgesicherte Versiondes CMS trägt die Versionsnummer 8.x-1.2.

Die Webforms-Lücke

Ein ähnlicher Fehler im Modul Webforms führt dazu, dass Angreifer auf eigentlich unveröffentlichte Informationen zugreifen könnten. Hier schließt die Version 8.x-5.12  die zweite Sicherheitslücke in dem beliebten CMS.

Weitergehende Informationen zu den Sicherheitslücken gibt Drupals Security Advisory: