Kritische Cross-Site-Scripting Sicherheitslücke im Drupal Core

Table of Contents

Am 20. November 2024 veröffentlichte das Drupal-Security-Team eine Sicherheitswarnung zu einer kritischen Schwachstelle im Drupal 7 Core, die als Cross-Site-Scripting (XSS) klassifiziert wurde. Diese Sicherheitslücke wird durch unsichere Verarbeitung von Benutzereingaben im Overlay-Modul verursacht und betrifft ausschließlich Drupal-7-Installationen mit aktiviertem Overlay-Modul in den Versionen zwischen 7.0 und 7.101.

Drupal ist eines der weltweit am häufigsten verwendeten Content-Management-Systeme (CMS). Die Sicherheit des Drupal-Cores ist von zentraler Bedeutung, da viele Websites, darunter Regierungs-, Unternehmens- und NGO-Seiten, auf dieses CMS vertrauen. Die vorliegende Sicherheitslücke betrifft den Overlay-Modul, ein Feature, das eine Überlagerung für Administrationsaufgaben bietet.

Beschreibung der Schwachstelle

  • Art der Schwachstelle: Reflektiertes Cross-Site-Scripting (XSS).
  • Betroffene Versionen: Alle Versionen von Drupal 7 Core ab 7.0 bis einschließlich 7.101.
  • Ursache: Unsichere Verarbeitung von Benutzereingaben im Overlay-Modul.
  • Gefährdung: Angreifer können bösartigen Code einschleusen, der im Browser eines Benutzers ausgeführt wird. Dies kann zu:
    • Diebstahl von Sitzungscookies,
    • Manipulation von Benutzerinteraktionen oder
    • Ausführung schädlicher Skripte führen.

Nur Installationen mit aktiviertem Overlay-Modul sind anfällig.

Die Sicherheitslücke wurde vom Drupal-Security-Team als kritisch eingestuft, mit einer Risiko-Bewertung von 17/25. Der CVSS-Vektor lautet:

  • Angriffs-Komplexität: Keine (AC:None).
  • Authentifizierung: Keine (A:None).
  • Vertraulichkeit und Integrität: Beeinträchtigt (CI:Some, II:Some).
  • Ausnutzbarkeit: Theoretisch (E:Theoretical).
  • Standard-Konfiguration betroffen: Ja (TD:Default).

Um die Schwachstelle zu beheben oder zu umgehen, empfiehlt das Drupal-Security-Team folgende Schritte:

  1. Software-Update:
    • Aktualisieren Sie Ihre Drupal-Installation auf Version 7.102, in der das Problem behoben wurde.
  2. Deaktivierung des Overlay-Moduls:
    • Falls ein sofortiges Update nicht möglich ist, deaktivieren Sie das Overlay-Modul in den Drupal-Core-Einstellungen. Dies umgeht die Schwachstelle vollständig.

Related Posts

Kritische RCE Sicherheitslücke in GitHub CLI (CVE-2024-52308)

Am 14. November 2024 wurde eine schwerwiegende Sicherheitslücke in der GitHub CLI (GH CLI) bekannt gegeben, die Angreifern unter bestimmten Umständen Remote Code Execution (RCE) ermöglicht. Die Schwachstelle betrifft die Funktionen gh codespace ssh und gh codespace logs, wenn diese mit einem bösartigen Codespace-SSH-Server interagieren.

Read More

PHP: CVE-2024-8929 – Heap-Datenleck durch Buffer Over-Read in Mysqlnd

Am 26. November 2024 wurde die Schwachstelle CVE-2024-8929 veröffentlicht, die sich auf das mysqlnd (MySQL Native Driver) in PHP bezieht. Die Schwachstelle ermöglicht es Angreifern, Speicherinhalte (Heap-Daten) durch eine fehlerhafte Verarbeitung von MySQL-Paketen zu lesen. Die Sicherheitslücke wird als hoch (Severity: High) eingestuft. Die Versionen < 8.1.31, < 8.2.26 und <8.3.14 sind betroffen.

Read More

Authentifizierungs Bypass Sicherheitslücke in Apache Tomcat: CVE-2024-52316

Am 18. November 2024 wurde eine kritische Schwachstelle in Apache Tomcat bekannt (CVE-2024-52316), die eine Umgehung der Authentifizierung ermöglicht. Die Schwachstelle betrifft Benutzer, die eine benutzerdefinierte Jakarta-Authentication-Komponente (ehemals JASPIC) verwenden. Wenn diese Komponente während des Authentifizierungsprozesses eine Ausnahme auslöst, ohne explizit einen HTTP-Fehlerstatus zu setzen, kann die Authentifizierung fälschlicherweise als erfolgreich angesehen werden.

Read More