Durch Sicherheitslücken in der Bibliothek jQuery UI könnten Angreifer Schadcode auf Drupal-Servern ablegen. Mit der Erweiterung kann man unter anderem Benutzeroberflächen gestalten.

Wer für Drupal-Websites verantwortlich ist, sollte jetzt das beliebte Content-Management-System (CMS) Drupal aus sicherheitshalber auf den aktuellsten Stand bringen. Der Hersteller der Drittanbieter-Bibliothek hat inzwischen gegen diese Angriffe abgesicherte Ausgaben mit einer korrigierten  jQuery-UI-Erweiterung für verschiedene Versionsstränge von Drupal 7 und 9 veröffentlicht.

XSS-Attacken möglich

Insgesamt fĂĽnf SicherheitslĂĽcken haben eine Einstufung mit dem Bedrohungsgrad “mittel”. Angreifer könnten die Schwachstellen fĂĽr XSS-Angriffe ausnutzen. Wenn das geklappt hat, könnten sie im Nachgang dafĂĽr sorgen, dass nicht vertrauenswĂĽrdiger Code in dem SystemausgefĂĽhrt wird.

Ob es dabei um eine persistente XSS-Attacke geht, kann man den beiden Warnmeldungen (Warnung 1, Warnung 2) nicht entnehmen. Solche Möglichkeiten sind noch gefährlicher, weil sich der Schadcode dabei auf dem Webserver einnistet und danach bei jedem Besuch der Website ausgeführt wird.

Updates in den aktuellsten Drupal-Versionen

Nach Angaben der Entwickler ist die gegen solche Angriffe gerüstete Bibliothek jQuery-UI-Version 1.13.0 in Drupal 7.86, 9.2.11 und 9.3.3 implementiert ist. Die Versionen Drupal 8 und vor 9.2.x des CMS erhalten keinen Support und damit auch keine Sicherheitsupdates mehr.