Skip to Content

SA-CORE-2014-002

Drupal Remote Information Disclosure - SA-CORE-2014-002

Als Drupal™ ist ein Warenzeichen von Dr. Dries BuytaertDrupal™ ist ein Warenzeichen von Dr. Dries Buytaert nur mäßig gefährlich (3 von 5) stuft das Security Team eine Remote angreifbare Schwachstelle in der Form API von Drupal ein. Der Fehler betrifft alle Versionen bis  6.30 und 7.26  sowie in erster Linie vermutlich anonyme Benutzer mit der Berechtigung zur Erstellung von Inhalten. Die fehlerhafte Caching Funktion von Drupal und externen Systemen ließ es zu, dass insbesondere in mehrstufigem Form Input möglicherweise sensitive Daten zwischen verschiedenen nicht angemeldeten Nutzern geleaked wurde. Weil kleine Änderungen am Application Programming Interface das Problem beheben, sind jetzt eventuell Änderungen am selbstgeschriebenen Code betreffend die Programmierschnittstelle nötig. Als nur "moderately" kritisch wurde der Bug auch deshalb eingestuft, weil Drupal Core Forms by default anonymen Usern gar nicht zur Verfügung stellt - fremde oder eigene Module sind dieser Beschränkung aber vielleicht nicht unterworfen. Siehe auch die Drupal 6.31 release notes sowie die Drupal 7.27 release notes für weitere Infos. Ein CVE Identifier ist angefragt und wird möglicherweise nachgereicht.

Inhalt abgleichen


eilbek
about seo