Eine Sicherheitslücke in dem Drupal Content Management System (CMS) hat zur Folge, dass ein entfernter Angreifer ungültige oder unvollständige Formulare an das System übersenden kann.
Die dafür verantwortlichen Schwachstellen befinden sich in den reCaptcha-v3- und Webform-Modulen. Der Angreifer kann die Attacke nach einer erfolgreich gelösten reCaptcha-v3-Abfrage durchführen. reCAPTCHA selbst ist ein Captcha-Dienst, der seit 2009 von Google betrieben wird. Er versucht zu unterscheiden, ob eine bestimmte Handlung im Internet von einem Menschen oder
von einem Computerprogramm oder Bot vorgenommen wird. Der vollautomatische öffentliche Vorgang ähnelt somit dem Turing-Test. reCAPTCHA wird gleichzeitig zum Digitalisieren von Büchern und Zeitschriften sowie Hausnummern und Straßennamen aus Google Street View verwendet.
Der Programmierfehler in Webforms hat weiter zur Folge, dass ein entfernter Angreifer auf unveröffentlichte Informationen des CMS zugreifen kann.
Das Problem wurde in der aktuellen Version 8.x-1.2 korrigiert.
