Unzurechender Zugriffsschutz im Drupal-Modul Panels (CVE-2025-3474)

Am 9. April 2025 wurde eine kritische Sicherheitslücke (CVE-2025-3474) im beliebten Drupal-Modul Panels bekannt gegeben. Das Sicherheitsrisiko wird mit 16 von 25 Punkten bewertet, was der Stufe „Critical“ entspricht. Die Schwachstelle betrifft alle Versionen vor Panels 4.9.0.

Das Panels-Modul ermöglicht es Administratoren, benutzerdefinierte Seitenvarianten mit Hilfe von Page Manager oder Panelizer zu erstellen. Die nun entdeckte Schwachstelle erlaubt es jedoch unauthentifizierten Angreifern, unter bestimmten Bedingungen auf sensible Routen zuzugreifen und Blöcke innerhalb von Seitenvarianten zu bearbeiten oder anzusehen – ohne entsprechende Berechtigungen.

Zwar ist das Angriffsszenario laut der Sicherheitsmeldung theoretischer Natur, da Angreifer den exakten Maschinenname der Variante und der zugrunde liegenden Seite kennen müssen, was nicht direkt aus dem Seitenquelltext ersichtlich ist. Dennoch stellt die Lücke ein erhebliches Risiko dar – insbesondere in komplexen Sites mit vielen benutzerdefinierten Varianten. Zudem können nur einfache Blöcke manipuliert werden, da komplexere Inhalte fehlschlagen, wenn entsprechende Zugriffsrechte fehlen.

Related Posts

FortiSwitch: Schwachstelle ermöglicht Passwortänderung ohne Authentifizierung

Am 8. April 2025 veröffentlichte Fortinet einen Sicherheitshinweis (FG-IR-24-435) zu einer schwerwiegenden Schwachstelle in der FortiSwitch-GUI (CVE-2024-48887). Die Lücke betrifft zahlreiche Versionen von FortiSwitch (6.4.0 bis 7.6.0) und erlaubt es einem unauthentifizierten, entfernten Angreifer, Admin-Passwörter über einen manipulierten Aufruf des set_password-Endpoints zu ändern – ohne vorherige Verifizierung.

Read More

Kritische Schwachstellen in Junos Space durch Update behoben

Im April-Sicherheitsbulletin 2025 informiert Juniper Networks ĂĽber die Behebung mehrerer kritischer SicherheitslĂĽcken in seiner Plattform Junos Space durch das Update auf die Version 24.1R3. Die Schwachstellen wurden durch Aktualisierungen von Drittanbieter-Komponenten innerhalb der Software geschlossen. Betroffen sind alle Versionen vor 24.1R3.

Read More

Kritische SicherheitslĂĽcke in S3 Plattform in MinIO CVE-2025-31489

Die S3 Alternative MinIO hat eine kritische Schwachstelle (CVE-2025-31489) in seiner Software entdeckt, die in der Version RELEASE.2023-05-18T00-05-36Z eingeführt wurde und mit der Version RELEASE.2025-04-03T14-56-28Z behoben ist. Die Sicherheitslücke betrifft die unvollständige Signaturvalidierung bei Uploads mit „unsigned-trailer“, was es Angreifern ermöglicht, mit beliebigen Geheimnissen Objekte in Buckets hochzuladen – vorausgesetzt, sie kennen den Access Key und haben WRITE-Rechte auf den Ziel-Bucket.

Read More