CB-K20/1173 Update 6
Risikostufe 3
Titel:Drupal: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit den Rechten des DienstesDatum:09.04.2021Software:Open Source Drupal < 7.75, Open Source Drupal < 8.8.12, Open Source Drupal < 8.9.10, Open Source Drupal < 9.0.9, Debian Linux, Gentoo Linux, Open Source Arch LinuxPlattform:Linux, MacOS X, WindowsAuswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:NeinRisiko:mittelCVE Liste:CVE-2020-28948, CVE-2020-28949Bezug:
Beschreibung
Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden.
Ein lokaler Angreifer kann eine Schwachstelle in Drupal ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen.
Quellen:
- Drupal Security Advisory SA-CORE-2019-012 vom 2020-11-25
- Debian Security Advisory DLA-2466 vom 2020-11-27
- Debian Security Advisory DSA-4817 vom 2020-12-19
- Gentoo Linux Security Advisory GLSA-202101-23 vom 2021-01-26
- Arch Linux Security Advisory ASA-202102-7 vom 2021-02-06
- Debian Security Advisory DLA-2621 vom 2021-04-08