Unzurechender Zugriffsschutz im Drupal-Modul Panels (CVE-2025-3474)
Am 9. April 2025 wurde eine kritische Sicherheitslücke (CVE-2025-3474) im beliebten Drupal-Modul Panels bekannt gegeben. Das Sicherheitsrisiko wird mit 16 von 25 Punkten bewertet, was der Stufe „Critical“ entspricht. Die Schwachstelle betrifft alle Versionen vor Panels 4.9.0.
Das Panels-Modul ermöglicht es Administratoren, benutzerdefinierte Seitenvarianten mit Hilfe von Page Manager oder Panelizer zu erstellen. Die nun entdeckte Schwachstelle erlaubt es jedoch unauthentifizierten Angreifern, unter bestimmten Bedingungen auf sensible Routen zuzugreifen und Blöcke innerhalb von Seitenvarianten zu bearbeiten oder anzusehen – ohne entsprechende Berechtigungen.
Zwar ist das Angriffsszenario laut der Sicherheitsmeldung theoretischer Natur, da Angreifer den exakten Maschinenname der Variante und der zugrunde liegenden Seite kennen müssen, was nicht direkt aus dem Seitenquelltext ersichtlich ist. Dennoch stellt die Lücke ein erhebliches Risiko dar – insbesondere in komplexen Sites mit vielen benutzerdefinierten Varianten. Zudem können nur einfache Blöcke manipuliert werden, da komplexere Inhalte fehlschlagen, wenn entsprechende Zugriffsrechte fehlen.