Vom BSI gibt es dazu eine Sicherheitswarnung der zweithöchsten Risikostufe (4 von 5), während die Drupal-Entwickler selbst wählten gemäß „NIST’s Common Misuse Scoring System (CMSS)“ die Einordnung „moderately critical“. Updates, die die Schwachstelle beseitigen sind jetzt verfügbar und sollten auch besser umgehend eingespielt werden.
Die auch in dem CMS TYPO3 vorhandene Schwachstelle wurde dort schon im letzten Sommer geschlossen…
Die Drupal-Entwickler raten den Benutzern von Drupal 8.7 zum Update auf Drupal 8.7.1, Nutzer von Version 8.6 sollten auf die Version 8.6.16 umsteigen. Für die 8er-Versionen vor 8.6.x gibt es keine Sicherheitsupdates mehr. Sie sollten deshalb auch gar nicht mehr genutzt werden. Für User von Drupal 7 beseitigt die Aktualisierung auf 7.67 die Sicherheitslücke.