Web-Admins, die Drupal einsetzen, sollten das Content Management System (CMS) auf den aktuellen Stand bringen. Die Entwickler haben abgesicherte Versionen veröffentlicht, in denen sie mehrere Schwachstellen geschlossen haben.
Am gefährlichsten gilt eine als "kritisch" eingestufte refected XSS-Lücke (CVE-2020-13668). Klappt eine Attacke, könnten Angreifer Skripte mit Schadcode auf verwundbaren Websites hinterlegen. Bei einem Besuch führt der Webbrowser eines Opfers den Code aus.
Davon sind Drupal 8 und 9 bedroht. In den Versionen 8.8.10, 8.9.6 und 9.0.6 haben die Entwickler die Schwachstelle geschlossen. Für ältere Versionen als 8.8.x ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr.
Die weiteren Sicherheitslücken sind als "moderat kritisch" eingestuft. Dort könnten Angreifer für weitere XSS-Attacken ansetzen, Zugangsbeschränkungen umgehen oder Daten leaken.
Liste nach Bedrohungsgrad absteigend sortiert:
- Drupal core - Critical - Cross-site scripting - SA-CORE-2020-009
- Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-007
- Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-010
- Drupal core - Moderately critical - Access bypass - SA-CORE-2020-008
- Drupal core - Moderately critical - Information disclosure - SA-CORE-2020-011