Am Mittwoch hat das Team des weit verbreiteten CMS Drupal drei Security-Advisories zu den Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb des CMS veröffentlicht. In der ersten steckt eine mit “critical”, in den anderen beiden eine mit “moderately critical” bewertete Sicherheitslücke. Die Entwickler der Module haben deshalb Updates veröffentlicht, die die Nutzer von Drupal zeitnah einspielen sollten.

Unbefugte Zugriffe und sogar Cross-Site-Scripting möglich

Mit der kritischen Lücke in Modal Form befasst sich das Advisory SA-CONTRIB-2020-029. Wenn Angreifer den vollen Klassennamen (“fully-qualified class name”) eines Formulars kennen, könntensie beliebig sowohl lesend als auch übermittelnd auf das Formular zugreifen, heißt es in der Beschreibung.

Verwundbar sei die Version 8.x-1.x-dev. Deshalb sollten Nutzer, die Modal Form mit Drupal 8 oder 9 nutzen, sollten auf die bereinigte Version 8.x-1.2 updaten.

Die Advisories zu Apigee Edge und Easy Breadcrumb richten sich ausschließlich an Nutzer von Drupal 8. Wer noch die verwundbare Version 8.x-1.x-dev eines der beiden Module nutzt, sollte jetzt auf 8.x-1.12 (Apigee Edge) bzw. 8.x-1.13 (Easy Breadcrumb) aktualisieren.

Bei Nutzung der verwundbaren Apigee Edge-Version könnten Angreifer unbefugt Emailadressen aus anderen Drupal-Konten einsehen, wenn einige Voraussetzungen (aktiviertes Apigee Edge Teams-Submodul, Nutzerrolle mit “Manage team members”-Erlaubnis) erfüllt sind.

Bei Nutzung des verwundbaren Easy Breadcrumb-Moduls sind unter bestimmten Umständen Cross-Site-Scripting-Angriffe durch Editor-Eingaben möglich.

Nähere Details und Hinweise zu den Updates finden Sie in den Advisories dazu: