Das Drupal-Wiki ist ein Unternehmenswiki für Wissens- und Qualitätsmanagement.
Unser Kollege und BSI-zertifizierter Penetrationstester Simon Bieber hat mehrere Fundstellen für persistentes Cross-Site Scripting (XSS) in Drupal-Wiki identifiziert.
Die Schwachstelle erlaubt es einem entfernten Angreifer beliebigen (Javascript-)Code im Browser des Opfers auszuführen. Hierzu muss der Angreifer eine Wiki-Seite bearbeiten oder einen Kommentar zu einer Wiki-Seite abgeben können. Zusätzlich muss das Opfer eine Wiki-Seite mit bösartigen Kommentaren oder Inhalten öffnen.
Die Schwachstelle betrifft die Versionen 8.31 und 8.30 und wurde mit einem CVSS-Score von 6.4 bewertet. Mit einem Update zur Version 8.31.1 oder neuer kann die Schwachstelle behoben werden.
Alle weiteren Details finden Sie in unserem Advisory secuvera-SA-2024-02.