Drupal warnt vor zwei kritischen Sicherheitslücken

Startseite » Drupal warnt vor zwei kritischen Sicherheitslücken

Drupal hat zwei Sicherheitslücken in den Versionen 9.2 und 9.3 bekannt gegeben, die es einem Angreifer ermöglichen könnten, bösartige Dateien herunterzuladen und die Kontrolle über eine Website zu übernehmen. Die Bedrohungsstufen beider Schwachstellen werden als mäßig kritisch eingestuft.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat gewarnt, dass die Exploits dazu führen könnten, dass ein Angreifer die Kontrolle über eine anfällige Drupal-basierte Website übernimmt.

CISA sagte:

„Drupal hat Sicherheitsupdates veröffentlicht, um Schwachstellen zu beheben, die Drupal 9.2 und 9.3 betreffen.

Ein Angreifer könnte diese Schwachstellen ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen.

Drupal

Drupal ist ein beliebtes Open-Source-Content-Management-System, das in der Programmiersprache PHP geschrieben ist.

Viele große Organisationen wie die Smithsonian Institution, die Universal Music Group, Pfizer, Johnson & Johnson, die Princeton University und die Columbia University verwenden Drupal für ihre Websites.

Formular-API – Ungültige Eingabevalidierung

Die erste Schwachstelle betrifft die Formular-API von Drupal. Die Schwachstelle ist eine unsachgemäße Eingabevalidierung, was bedeutet, dass das, was über die Formular-API hochgeladen wird, nicht validiert wird, ob es autorisiert ist oder nicht.

Die Validierung dessen, was hochgeladen oder in ein Formular eingegeben wird, ist eine gängige Best Practice. Im Allgemeinen erfolgt die Eingabevalidierung mit einem zulässigen Listenansatz, bei dem das Formular bestimmte Eingaben erwartet und alles ablehnt, was nicht mit der erwarteten Eingabe oder dem erwarteten Upload übereinstimmt.

Wenn ein Formular eine Eingabe nicht validiert, bleibt die Website offen für das Hochladen von Dateien, die unerwünschtes Verhalten in der Webanwendung auslösen können.

Die Ankündigung von Drupal erläuterte das spezifische Problem:

„Die Drupal Core Form API weist eine Schwachstelle auf, bei der bestimmte bereitgestellte oder benutzerdefinierte Modulformulare anfällig für eine unsachgemäße Eingabevalidierung sein können. Dies könnte es einem Angreifer ermöglichen, nicht autorisierte Werte einzufügen oder zu überschreiben. Betroffene Formulare sind selten, aber in einigen Fällen könnte ein Angreifer Änderungen vornehmen kritische oder sensible Daten.

Drupal Core – Zugriffsumgehung

Die Zugriffsumgehung ist eine Form der Schwachstelle, bei der es möglicherweise eine Möglichkeit gibt, auf einen Teil der Website über einen Pfad zuzugreifen, für den eine Zugriffskontrollprüfung fehlt, was einem Benutzer in einigen Fällen den Zugriff auf Ebenen ermöglicht, für die er keine Berechtigungen hat.

Die Ankündigung von Drupal beschreibt die Schwachstelle:

„Drupal 9.3 hat eine generische Entitätszugriffs-API für Entitätsrevisionen implementiert. Diese API wurde jedoch nicht vollständig in vorhandene Berechtigungen integriert, was zu einer potenziellen Zugriffsumgehung für Benutzer geführt hat, die Zugriff auf Inhaltsüberprüfungen im Allgemeinen, aber keinen Zugriff auf einzelne Elemente von Knoten- und Multimediainhalten haben.

Publishern wird empfohlen, Sicherheitshinweise zu lesen und Updates anzuwenden

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und Drupal ermutigen Anbieter, Sicherheitshinweise zu lesen und auf die neuesten Versionen zu aktualisieren.

Zitate

Lesen Sie das offizielle Drupal CISA-Schwachstellen-Bulletin

Drupal veröffentlicht Sicherheitsupdates

Lesen Sie die beiden Drupal-Sicherheitsankündigungen

Drupal Core – Mäßig kritisch – Bad Input Validation – SA-CORE-2022-008

Drupal Core – Mäßig kritisch – Zugriffsumgehung – SA-CORE-2022-009