Eine Sicherheitslücke in der Bibliothek des CKEditor gestattet Angriffe auf Admin-Konten von Drupal. Sollten Sie auf einer mit dem Content Management System (CMS) Drupal erstellten Internetseite die Drittanbieter-Bibliothek WYSIWYG CKEditor für registrierte Seitennutzer arbeiten, sollten Sie das CMS jetzt zügig auf den aktuellen Stand bringen.

Das Drupal-Team stuft die Sicherheitslücke in der Bibliothek als “moderat kritisch” ein. Davon betroffen sind die Versionen Drupal 8.7.x und 8.8.x. Die Ausgaben 8.7.12 und 8.8.4 sind schon abgesichert, wie man einer Meldung der Entwickler entnehmen kann. Zusammen mit den aktuellen Versionen kommt jeweils auch eine bereinigte CKEditor-Version 4.14 mit. Benutzer von Drupal 7 sollten deshalb bei dem Update sicherstellen, dass diese CKEditor-Version auch in dem CMS installiert ist.

Böswillige Angreifer, die mit der Bibliothek Inhalte für eine verwundbare Website erstellen können, könnten über diese Schwachstelle unter Umständen auch Admin-Konten via XSS-Attacken angreifen.