Die beiden Module „Webform“ und „Admin Toolbar“ für das Content Management System (CMS) Drupal waren unter bestimmten Voraussetzungen mit Cross-Site-Scripting angreifbar.

Durch mehrere als „Moderately Critical“ bewertete Schwachstellen in den beiden Modulen für das Content Management System (CMS) Drupal hätten Angreifer mit geringen Zugriffsrechten ausnutzen können, um darüber Cross-Site-Scripting-Angriffe auf Drupal-Installationen durchzuführen. Für die beiden Module „Webform“ und „Admin Toolbar“ sind inzwischen auch Aktualisierungen verfügbar, die die Administratoren jetzt zeitnah installieren sollten.

Genauere Details Details zu den Schwachstellen mit Versionsangaben und Verlinkungen zu den Updates kann man den Drupal-Advisories SA-CONTRIB-2021-026 (Webform) und SA-CONTRIB-2021-025 (Admin Toolbar) zu entnehmen. Aus letzterem geht einschränkend auch hervor, dass die Toolbar-Schwachstellen nur unter ganz bestimmten Rahmenbedingungen wie beispielsweise unter anderem einem aktivierten Search-Submodul erfolgreich ausnutzbar seien. Angriffe in freier Wildbahn seien bisher angeblich noch nicht beobachtet worden.