Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Sicherheitsupdate: Attacken auf Drupal-Admins vorstellbar

Angreifer könnten mit dem CMS Drupal erstellte Websites attackieren. Insgesamt stufen die Entwickler das Risiko als "moderat kritisch" ein.

Die beiden Schwachstellen (CVE-2021-41164 "hoch", CVE-2021-41165 "mittel") betreffen den in Drupal integrierten CKEditor. Websites sollen einer Warnmeldung zufolge aber nur attackierbar sein, wenn der CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig der Fall ist, geht aus der Meldung nicht hervor.
Ist diese Voraussetzung erfüllt, könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es vorstellbar, dass etwa Admins ins Visier von XSS-Attacken geraten. Die Versionen 8.9.20, 9.1.14 und 9.2.9 sollen gegen solche Angriffe abgesichert sein. Für den Versionsstrang 9.1.x ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. Für Drupal 8 ist es der finale Sicherheitspatch. Da Drupal 7 den CKEditor nicht einsetzt, ist diese Ausgabe nicht betroffen.
Quelle: heise
 
Zurück
Oben