Kritische Cross-Site-Scripting Sicherheitslücke im Drupal Core
Table of Contents
Am 20. November 2024 veröffentlichte das Drupal-Security-Team eine Sicherheitswarnung zu einer kritischen Schwachstelle im Drupal 7 Core, die als Cross-Site-Scripting (XSS) klassifiziert wurde. Diese Sicherheitslücke wird durch unsichere Verarbeitung von Benutzereingaben im Overlay-Modul verursacht und betrifft ausschließlich Drupal-7-Installationen mit aktiviertem Overlay-Modul in den Versionen zwischen 7.0 und 7.101.
Drupal ist eines der weltweit am häufigsten verwendeten Content-Management-Systeme (CMS). Die Sicherheit des Drupal-Cores ist von zentraler Bedeutung, da viele Websites, darunter Regierungs-, Unternehmens- und NGO-Seiten, auf dieses CMS vertrauen. Die vorliegende Sicherheitslücke betrifft den Overlay-Modul, ein Feature, das eine Überlagerung für Administrationsaufgaben bietet.
Beschreibung der Schwachstelle
- Art der Schwachstelle: Reflektiertes Cross-Site-Scripting (XSS).
- Betroffene Versionen: Alle Versionen von Drupal 7 Core ab 7.0 bis einschließlich 7.101.
- Ursache: Unsichere Verarbeitung von Benutzereingaben im Overlay-Modul.
- Gefährdung: Angreifer können bösartigen Code einschleusen, der im Browser eines Benutzers ausgeführt wird. Dies kann zu:
- Diebstahl von Sitzungscookies,
- Manipulation von Benutzerinteraktionen oder
- Ausführung schädlicher Skripte führen.
Nur Installationen mit aktiviertem Overlay-Modul sind anfällig.
Die Sicherheitslücke wurde vom Drupal-Security-Team als kritisch eingestuft, mit einer Risiko-Bewertung von 17/25. Der CVSS-Vektor lautet:
- Angriffs-Komplexität: Keine (AC:None).
- Authentifizierung: Keine (A:None).
- Vertraulichkeit und Integrität: Beeinträchtigt (CI:Some, II:Some).
- Ausnutzbarkeit: Theoretisch (E:Theoretical).
- Standard-Konfiguration betroffen: Ja (TD:Default).
Um die Schwachstelle zu beheben oder zu umgehen, empfiehlt das Drupal-Security-Team folgende Schritte:
- Software-Update:
- Aktualisieren Sie Ihre Drupal-Installation auf Version 7.102, in der das Problem behoben wurde.
- Deaktivierung des Overlay-Moduls:
- Falls ein sofortiges Update nicht möglich ist, deaktivieren Sie das Overlay-Modul in den Drupal-Core-Einstellungen. Dies umgeht die Schwachstelle vollständig.