Es sind neue Versionen der Drupal-Module "Open Social" und "Subgroup" verfügbar, die zwei Schwachstellen aus ersterem und eine aus letzterem beseitigen. Unter bestimmten Voraussetzungen könnten Angreifer die Schwachstellen missbrauchen, um sich unbefugten Zugriff auf Informationen beziehungsweise auf Rechte innerhalb bestimmter Gruppen zu verschaffen.
Die Schwachstellen in Open Social wurden als "Moderately critical" bewertet. Nutzern der Hauptversion 8 wird ein Update auf die abgesicherte Version 8.x-8.10 empfohlen; Nutzer von Version 9 sollten auf 8.x-9.8 aktualisieren. Die Einstufung der Schwachstelle in Subgroup lautet "Less Critical". Sie wurde in Version 1.0.1 behoben; das Advisory empfiehlt das Leeren des Caches im Anschluss an die Installation.
Weitere Informationen und Updates
Exploits in freier Wildbahn wurden bislang offenbar nicht beobachtet. Auch setzt ein Missbrauch der Schwachstellen bestimmte Modul-Konfigurationen sowie in einem Fall ein Login mit normalen Nutzerrechten voraus. Detaillierte Informationen sowie Links zu den verfügbaren Updates sind den Security Advisories zu entnehmen:
- Open Social - Access bypass - SA-CONTRIB-2021-001
- Open Social - Access bypass - SA-CONTRIB-2021-002
- Subgroup - Access bypass - SA-CONTRIB-2021-003