Categories: Sicherheit

Kritische Lücken in Drupal-CMS-Modulen gefährden tausende Websites

Drupal hat Anwender seines freien Content Management System (CMS) aufgerufen, die neuesten Updates einzuspielen, um schwerwiegende Sicherheitslücken zu schließen. Diese stecken in verschiedenen Modulen und erlauben es Angreifern, eine Website zu entführen und Schadcode aus der Ferne auszuführen. Von den Schwachstellen sollen mindestens 13.000 auf Drupal basierende Sites betroffen sein.

„Die Module enthalten eine Möglichkeit zur Remotecodeausführung, die es Angreifern mittels manipulierter Anfragen erlaubt, die Site zu übernehmen“, erklärt Drupals Sicherheitsteam. So könnten sie beliebige Änderungen auf der Site vornehmen und auch die vollständige Kontrolle über Server erlangen.

Was die Sache noch verschlimmert: Jeder Besucher einer anfälligen Domain, der die fehlerhaften Module hostet, könnte die Lücken theoretisch ausnutzen, um eine Site zu übernehmen.

Eins der betroffenen Module ist RESTWS, das zum Erstellen von REST APIs verwendet wird und aktuell auf über 5800 Websites zum Einsatz kommt. Durch Ausnutzen der Schwachstelle in diesem Modul können Angreifer schädlichen PHP-Code ausführen. Entdeckt hat sie der Sicherheitsexperte Devin Zuczek.

Eine Lücke findet sich auch im Modul Coder, das auf knapp 5000 Drupal-Domains zur Codeanalyse eingesetzt wird. Der von Nicky Bloor gemeldete, „hochkritische“ Fehler resultiert aus einer unzureichenden Prüfung von PHP-Script-Benutzereingaben und ermöglicht so Remotecodeausführung. Dafür muss das Modul nicht einmal aktiviert sein.

Das dritte und letzte Modul, das aktuell tausende Drupal-Websites gefährdet, ist Webform Multiple File Upload. Durch die darin enthaltene kritische Schwachstelle kann ein Angreifer eventuell ebenfalls Schadcode ausführen, abhängig von den auf der Domain verfügbaren Bibliotheken. Jedoch muss er dazu ein Webformular mit einem Multiple-File-Input-Feld übertragen. Entdecker dieser Lücke ist Ben Dougherty vom Drupal Security Team.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Die Anfälligkeiten wurden mit den jüngsten Versionen der Module beseitigt. Anwender sollten sie daher schnellstmöglich installieren, um ihre Drupal-Websites abzusichern.

Weltweit basieren mehr als eine Million Sites auf Drupal. Es ist damit nach WordPress und Joomla das am dritthäufigsten eingesetzte CMS. Aufgrund seiner E-Commerce-Funktionen ist Drupal vor allem bei Geschäftsanwendern beliebt. Schätzungsweise neun Prozent der 10.000 führenden Websites nutzen das Drupal-System.

Im Januar wies der Aktualisierungsprozess von Drupal Schwachstellen auf, die alle Versionen des CMS betrafen. Sie ermöglichten Codeausführung und den Diebstahl von in Datenbanken vorgehaltenen Identitäten. Im Februar schloss Drupal mit einem Update gleich zehn kritische Lücken, von denen einige ebenfalls für Remotecodeausführung und Webiste-Hijacking ausgenutzt werden konnten.

[mit Material von Charlie Osborne, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago