Das Content-Management-System
Drupal weist eine Schwachstelle auf, die Angreifern die Kontrolle über die betroffenen Systeme erlaubt. Die Drupal-Macher
warnen vor dem Leck im Drupal Core, das sich über die Funktion phpinfo ausnutzen lässt: "Wenn ein Angreifer einen Cross-Site-Scriptintg-Exploit gegen einen privilegierten Benutzer erreichen konnte, kann er möglicherweise die phpinfo-Seite verwenden, um auf vertrauliche Informationen zuzugreifen, die zur Eskalation des Angriffs verwendet werden könnten."
Da aber zuerst ein XSS-Exploit erforderlich sei, sieht die Drupal-Organisation den Fehler nur als "mässig kritisch" an, der im Common Misuse Scoring System von NIST ein Risiko von 14 von 25 maximal möglichen Punkten aufweise. Einen CVSS Score scheint das Leck noch nicht erhalten zu haben.
Betroffen sind die Drupal-Versionen kleiner als 7.95, 8.0.0 bis unter 9.4.12, 9.5.0 bis unter 9.5.5 sowie 10.0.0 bis unter 10.0.5. Dementsprechend heissen die gepatchten Versionen 7.95, 9.5.5, 9.4.12 und 10.0.5. Dabei gelten Drupal-9-Versionen vor 9.4.x als End-of-Life und erhalten keine Patches mehr. Auch Drupal 8 wird überhaupt nicht mehr unterstützt. Wer noch ein solches Drupal-System betreibt, sollte möglichst auf eine der weiterhin unterstützten Versionen aufrüsten.
(ubi)
