Drupal Sicherheitshinweis: Jetzt patchen - Drupal anfällig für eingeschleusten PHP-Code
- "Geschrieben von Matthias Pufke"
Durch eine kritische Lücke im Content-Management-System Drupal können Angreifer eigenen PHP-Code auf dem Server ausführen - eine weitere Schwachstelle im beliebten CMS missbrauchen Spammer bereits, um Werbung zu hosten.
Das Drupal-Team hat drei Sicherheitslücken in seinem Content-Management-System geschlossen, die zum Teil nicht ohne sind: So können Angreifer etwa eine kritische Schwachstelle im YAML-Parser missbrauchen, um eigenen PHP-Code auf dem Server auszuführen. Auch das RESTful-Modul (rest), welches Nutzern das Hochladen von Dateien erlaubt, mussten die Entwickler besser absichern. Es gab Sicherheitslücken bei der Validierung der von den Nutzern angelieferten Daten. Die Entwickler stufen das Problem als "weniger kritisch" (Less Critical) ein.
Von den ersten beiden Sicherheitslücken ist ausschließlich Drupal 8 betroffen, die dritte klafft auch in Drupal 7. Für Abhilfe sorgt ein Update auf Drupal 8.3.4 respektive 7.5.6.