Weil Angreifer mit dem CMS Drupal erstellte Websites attackieren könnten, haben die Entwickler des Content Management Systems Drupal jetzt zwei Sicherheitslücken geschlossen, deren Risiko die Entwickler insgesamt als „moderat kritisch“ ein stufen.
Die Probleme stecken im CKEditor
Beiden Schwachstellen (CVE-2021-41164 „hoch“, CVE-2021-41165 „mittel“) stecken in dem in Drupal integrierten CKEditor. Allerdings sollen einer Warnmeldung zufolge aber nur solche Websites angreifbar sein, bei denen die CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig so eingestellt ist, geht aus der Meldung leider nicht hervor.
In einem so eingestellten System könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es denkbar, dass etwa Admins ins Visier von XSS-Angriffen geraten.
Die bereinigten Versionen
Die Drupal-Versionen 8.9.20, 9.1.14 und 9.2.9 sind jetzt gegen solche Angriffe abgesichert worden.
Für 9er-Versionen vor 9.1.x ist der Support inzwischen ausgelaufen und es gibt keine Sicherheitsupdates mehr.
Für Drupal 8 ist es der letzte Sicherheitspatch. Weil Drupal 7 den CKEditor nicht benutzt, ist diese Version insgesamt nicht von dem Problem betroffen.