Im Core des Open-Source-Content-Management-Systems (CMS) Drupal steckt eine als kritisch eingestufte Sicherheitslücke. Angreifer könnten sie unter bestimmten Voraussetzungen missbrauchen, um ohne vorherige Authentifizierung die Kontrolle über das CMS zu übernehmen.
Der Missbrauch der Lücke unterliegt allerdings starken Einschränkungen: Laut einem Sicherheitshinweis der Drupal-Entwickler betrifft sie ausschließlich Version 8.7.4 des CMS. Zudem ist sie nur so lange vorhanden, wie das experimentelle "Workspaces"-Modul aktiv ist. Ob Zugriffe aus der Ferne möglich sind, geht aus dem Hinweis nicht hervor.
Version 8.7.5 ist abgesichert
Betreiber des CMS in Version 8.7.4 könnten das Workspaces-Modul also einfach deaktivieren. Besser ist allerdings ein Upgrade auf die abgesicherte Version 8.7.5.
Das Drupal-Team weist darauf hin, dass (im Falle eines vor dem Update aktiven Workspaces-Moduls) update.php ausgeführt werden, muss um sicherzustellen, dass der Cache geleert wird. Auch Reverse Proxy Caches und Caches von Content Delivery Networks sollten geleert werden.
Quelle: Drupal: Entwickler fixen kritische Sicherheitslücke im CMS-Kern | heise online