Die Entwickler von Drupal haben in ihrem Content Management System mehrere Schwachstellen geschlossen.
Mangelhafte Input Validation macht bisherige Versionen von Drupal angreifbar. Stimmen die Voraussetzungen, können Angreifer über kompromittierte, mit Drupal erstellte Websites Schadcode im Webbrowser von Opfern ausführen.
Es sind noch weitere Attacken denkbar. Sicherheitspatches sind verfügbar., ist von der Webbrowser-Schadcode-Attacke ausschließlich Drupal 7 mit aktiviertem Overlay-Modul gefährdet. Weil in diesem Kontext Nutzereingaben nicht ausreichend überprüft werden, können Angreifer im Zuge einer Reflected-XSS-Attacke Schadcode im Webbrowser von Opfern ausführen. Die Entwickler führen keine CVE-Nummer auf. Sie stufen die Gefahr als "" gekennzeichnet. An diesen Stellen kann es unter anderem zu einer PHP Code Injection kommen, sodass Angreifer eigenen Code ausführen können. In einem anderen Fall ist die Authentifizierung umgehbar und Angreifer können sich mit einer E-Mail-Adresse eines anderen Nutzers anmelden. Von diesen Lücken sind verschiedene Ausgaben von Drupal 7, 8, 10 und 11 betroffen. Bislang gibt es noch keine Hinweise auf bereits laufende Attacken. Website-Admins sollten aber dennoch zügig handeln und die verfügbaren Sicherheitsupdates installieren.
Drupal Patchday Security Sicherheitslücken Updates
Deutschland Neuesten Nachrichten, Deutschland Schlagzeilen
Similar News:Sie können auch ähnliche Nachrichten wie diese lesen, die wir aus anderen Nachrichtenquellen gesammelt haben.
Sicherheitsupdates: Schadcode-Attacken auf Synology-NAS möglichZwei während des Hackerwettbewerbs Pwn2Own entdeckte kritische Sicherheitslücken in NAS-Geräten von Synology wurden geschlossen.
Weiterlesen »
Sicherheitsupdates: Dell Enterprise SONiC für mehrere Attacken anfälligAngreifer können sich unbefugt Zugriff auf die Netzwerkmanagementsoftware Dell Enterprise SONiC verschaffen.
Weiterlesen »
Sicherheitsupdates: PostgreSQL für Schadcode-Attacken anfälligDas Datenbankmanagementsystem PostgreSQL ist über mehrere Lücken angreifbar. Admins sollten Instanzen jetzt absichern. Für eine Version läuft der Support aus.
Weiterlesen »
Trend Micros Deep Security Agent ermöglicht Einschleusen von SchadcodeAngreifer können Trend Micros Deep Security Agent Schadcode unterjubeln, etwa auch im lokalen Netz. Admins sollten zügig aktualisieren.
Weiterlesen »
Apache OfBiz: Schwachstelle ermöglicht CodeschmuggelEine aktualisierte Version der ERP-Software Apache OfBiz schließt Sicherheitslecks, die das Ausführen von Schadcode ermöglichen.
Weiterlesen »
Bitbucket, Confluence & Co.: Atlassian schließt DoS- und Schadcode-LückenAtlassians Entwickler haben Sicherheitslücken in Bamboo, Bitbucket, Confluence, Crowd Data, Jira, Jira Service Management und Sourcetree geschlossen.
Weiterlesen »