zurück zum Artikel

Die Programmbibliothek CKEditor, die vom Drupal-Core verwendet wird, barg unter bestimmten Umständen Angriffsmöglichkeiten. Für Core & Library gibt es Updates.

Nutzer des Content-Management-Systems (CMS) Drupal in den Versionen 8.9, 9.0 oder 9.1 sollten, soweit noch nicht geschehen, ein Update vornehmen: Die Drittanbieter-Library "CKEditor" wies einen Fehler beim Parsen von HTML auf, den Angreifer für Cross-Site-Scripting-Angriffe hätten ausnutzen können. Die Risikobewertung lautet "Moderately Critical".

Im Drupal-Advisory SA-CORE-2021-003 [1] wird die Gefahr insofern eingeschränkt, als dass Angriffe nur auf Websites mit aktiviertem CKEditor möglich seien.

Updates für Drupal Core und CKEditor

Die Drupal [2]-Versionen 8.9.16 [3], 9.0.14 [4] und 9.1.9 [5] sichern den Drupal-Core ab. Das Drupal-Team weist allerdings darauf hin, dass die fehlerhafte CKEditor-Version auch in separaten Drupal-Modulen wie dem WYSIWYG-Modul für Drupal 7 zum Einsatz kommen kann. Somit sollten Nutzer Ausschau nach weiteren Aktualisierungen halten. Analog dazu sollten Entwickler zugunsten der Sicherheit künftig auf reparierte CKEditor-Versionen ab 4.16.1 [6] vom 20. Mai setzen.

(ovw [8])

URL dieses Artikels:
https://www.heise.de/-6055672

Links in diesem Artikel:
[1] https://www.drupal.org/sa-core-2021-003
[2] https://www.heise.de/download/product/drupal-15336
[3] https://www.drupal.org/project/drupal/releases/8.9.16
[4] https://www.drupal.org/project/drupal/releases/9.0.14
[5] https://www.drupal.org/project/drupal/releases/9.1.9
[6] https://ckeditor.com/cke4/release/CKEditor-4.16.1
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2021 Heise Medien