Für das beliebte Open-Source-CMS Drupal wurden soeben neue Sicherheitsupdates veröffentlicht. Diese beheben mehrere “mittelschwere” Schwachstellen im Drupal Core, die Remote-Angriffe ermöglichen könnten. Es handelt sich um die drei Sicherheitslücken CVE-2019-10909, CVE-2019-10910, CVE-2019-10911. Auch eine Schwachstelle in der JavaScript-Library jQuery wird mit den Updates jetzt geschlossen.

Details zu den Schwachstellen

Nach den von den Entwicklern veröffentlichten Sicherheitshinweisen stecken alle Sicherheitslücken, die Drupal jetzt gepatcht hat, in Bibliotheken von Drittanbietern, die in den Versionen Drupal 8.6, Drupal 8.5 oder früher und Drupal 7 enthalten sind.

Bei der jQuery-Sicherheitslücke handelt es sich um eine Cross-Site-Scripting (XSS)-Schwachstelle, die sich in dem Drittanbieter-Plugin JQuery befindet. Diese recht beliebte JavaScript-Bibliothek wird von Millionen Websites genutzt und ist auch in der Drupal-Core-Software integriert.

JQuery hat vor wenigen Tagen jQuery 3.4.0 veröffentlicht, um eine gemeldete Schwachstelle zu patchen, für die noch keine CVE-Nummer festgelegt wurde. Die Schwachstelle steckt in allen früheren Versionen der Bibliothek bis zur Version 3.4.0.

Weitere Informationen

Weitere Details zu den Updates Sie  sich bei Bleeping Computer und in den von den Drupal-Entwicklern herausgegebenen Sicherheitshinweisen. Die abgesicherten Versionen sind Drupal 7.66, 8.5.15 und 8.6.15.