Am 9. April 2025 wurde eine kritische Sicherheitslücke (CVE-2025-3474) im beliebten Drupal-Modul Panels bekannt gegeben. Das Sicherheitsrisiko wird mit 16 von 25 Punkten bewertet, was der Stufe „Critical“ entspricht. Die Schwachstelle betrifft alle Versionen vor Panels 4.9.0.
Das Panels-Modul ermöglicht es Administratoren, benutzerdefinierte Seitenvarianten mit Hilfe von Page Manager oder Panelizer zu erstellen. Die nun entdeckte Schwachstelle erlaubt es jedoch unauthentifizierten Angreifern, unter bestimmten Bedingungen auf sensible Routen zuzugreifen und Blöcke innerhalb von Seitenvarianten zu bearbeiten oder anzusehen – ohne entsprechende Berechtigungen.
Zwar ist das Angriffsszenario laut der Sicherheitsmeldung theoretischer Natur, da Angreifer den exakten Maschinenname der Variante und der zugrunde liegenden Seite kennen müssen, was nicht direkt aus dem Seitenquelltext ersichtlich ist. Dennoch stellt die Lücke ein erhebliches Risiko dar – insbesondere in komplexen Sites mit vielen benutzerdefinierten Varianten. Zudem können nur einfache Blöcke manipuliert werden, da komplexere Inhalte fehlschlagen, wenn entsprechende Zugriffsrechte fehlen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns:
+49 (0) 89 339 800 807
info@sentiguard.eu
Am 9. April 2025 wurde eine kritische Sicherheitslücke (CVE-2025-3474) im beliebten Drupal-Modul Panels bekannt gegeben. Das Sicherheitsrisiko wird mit 16 von 25 Punkten bewertet, was der Stufe „Critical“ entspricht. Die Schwachstelle betrifft alle Versionen vor Panels 4.9.0.
Das Panels-Modul ermöglicht es Administratoren, benutzerdefinierte Seitenvarianten mit Hilfe von Page Manager oder Panelizer zu erstellen. Die nun entdeckte Schwachstelle erlaubt es jedoch unauthentifizierten Angreifern, unter bestimmten Bedingungen auf sensible Routen zuzugreifen und Blöcke innerhalb von Seitenvarianten zu bearbeiten oder anzusehen – ohne entsprechende Berechtigungen.
Zwar ist das Angriffsszenario laut der Sicherheitsmeldung theoretischer Natur, da Angreifer den exakten Maschinenname der Variante und der zugrunde liegenden Seite kennen müssen, was nicht direkt aus dem Seitenquelltext ersichtlich ist. Dennoch stellt die Lücke ein erhebliches Risiko dar – insbesondere in komplexen Sites mit vielen benutzerdefinierten Varianten. Zudem können nur einfache Blöcke manipuliert werden, da komplexere Inhalte fehlschlagen, wenn entsprechende Zugriffsrechte fehlen.