Wer auf seinen mit dem Content Management System (CMS) Drupal erstellten Websites das Modul Svg Image nutzt, sollte es aktualisieren. Ansonsten könnten Angreifer Seiten attackieren. Die Drupal-Entwickler stufen das Sicherheitsrisiko als "kritisch" ein.
Das Modul erlaubt Website-Besuchern den Upload von Svg-Dateien. Aufgrund einer unzureichenden Schutzprüfung könnten Angreifer mit Upload-Rechten Svg-Dateien mit Schadcode hochladen. Das endet in einer XSS-Attacke, schreiben die Entwickler in einer Warnmeldung.
Betroffen ist Drupal 8.x mit aktiviertem Svg-Image-Modul. Die Version 8.x-1.10 von Svg Image ist abgesichert.
Quelle: Kritische Sicherheitslücke in Drupal-Modul Svg Image | heise online