Website-Admins, die ihre Seiten mit dem Content Management System (CMS) Drupal 7 erstellt haben, sollten zeitnah ein Sicherheitsupdate installieren. Andernfalls könnten Angreifer Besucher auf eine von ihnen erstellte Website umleiten.
In einer Sicherheitswarnung stufen die Drupal-Entwickler das von der Lücke ausgehende Angriffsrisiko als "moderat kritisch" ein. Eine CVE-Nummer zur Kennzeichnung der Schwachstelle wurde offensichtlich noch nicht vergeben.
Es handelt sich um eine Open-Redirect-Lücke, die ausschließlich Drupal 7 betrifft. Ist eine Attacke erfolgreich, könnten Angreifer Opfer auf eine von ihnen kontrollierte Website locken. Das könnte aufgrund einer unzureichenden Überprüfung des Destination-Abfrage-Parameters drupal_goto() beispielsweise über einen präparierten Link geschehen. Die Drupal Version 7.70 ist abgesichert.
Quelle: Sicherheitsupdate Drupal 7: Angreifer könnten Websitebesucher umleiten | heise online