Eine Aktualisierung für das Drupal-Modul "Fast Autocomplete" zur Vervollständigung von Suchanfragen beseitigt eine Schwachstelle, die als "Moderately Critical" eingestuft wurde. Unter bestimmten Voraussetzungen hätten unauthentifizierte Besucher von Websites auf Drupal-Basis die Schwachstelle missbrauchen können, um personalisierte Suchergebnisse anderer Nutzer abzurufen, auf die sie ansonsten keinen Zugriff gehabt hätten.
Ein Missbrauch der Schwachstelle hätte laut Security Advisory SA-CONTRIB-2021-005 allerdings vorausgesetzt, dass zuvor die Default-Einstellung der Option "Perform search as anonymous user only" (on) manuell auf off gestellt worden wäre. Tatsächliche Exploits in freier Wildbahn wurden indes nicht beobachtet.
Update und Workaround
Das verfügbare Schwachstellen-Update in Gestalt von Fast Autocomplete 8.x-1.8 gilt den Drupal-Versionen 8.x und 9.x; Fast Autocomplete für Drupal 7.x ist laut Advisory nicht betroffen.
Alternativ zur Update-Durchführung sei es auch möglich, die Option "Perform search as anonymous user only", sofern diese zuvor umgestellt wurde, wieder zurück auf "on" zu setzen und anschließend die Option "Delete json files" einmal auf alle "Fast Autocomplete"-Konfigurationen anzuwenden, heißt es im Advisory. Letztlich dürfte die sicherere und damit ratsamere Vorgehensweise aber sein, das Modul zügig auf den neuesten Stand zu bringen.
Quelle: Neue Version verfügbar: Drupal-Modul "Fast Autocomplete" verriet Suchergebnisse | heise online