Durch Sicherheitslücken in der Bibliothek jQuery UI könnten Angreifer Schadcode auf Drupal-Servern ablegen. Mit der Erweiterung kann man unter anderem Benutzeroberflächen gestalten.
Wer für Drupal-Websites verantwortlich ist, sollte jetzt das beliebte Content-Management-System (CMS) Drupal aus sicherheitshalber auf den aktuellsten Stand bringen. Der Hersteller der Drittanbieter-Bibliothek hat inzwischen gegen diese Angriffe abgesicherte Ausgaben mit einer korrigierten jQuery-UI-Erweiterung für verschiedene Versionsstränge von Drupal 7 und 9 veröffentlicht.
XSS-Attacken möglich
Insgesamt fünf Sicherheitslücken haben eine Einstufung mit dem Bedrohungsgrad “mittel”. Angreifer könnten die Schwachstellen für XSS-Angriffe ausnutzen. Wenn das geklappt hat, könnten sie im Nachgang dafür sorgen, dass nicht vertrauenswürdiger Code in dem Systemausgeführt wird.
Ob es dabei um eine persistente XSS-Attacke geht, kann man den beiden Warnmeldungen (Warnung 1, Warnung 2) nicht entnehmen. Solche Möglichkeiten sind noch gefährlicher, weil sich der Schadcode dabei auf dem Webserver einnistet und danach bei jedem Besuch der Website ausgeführt wird.
Updates in den aktuellsten Drupal-Versionen
Nach Angaben der Entwickler ist die gegen solche Angriffe gerüstete Bibliothek jQuery-UI-Version 1.13.0 in Drupal 7.86, 9.2.11 und 9.3.3 implementiert ist. Die Versionen Drupal 8 und vor 9.2.x des CMS erhalten keinen Support und damit auch keine Sicherheitsupdates mehr.
