Das freie Content Management System Drupal birgt in den Modulen reCaptcha v3 und Webform kritische Sicherheitslücken. Betroffen sind mit Drupal 8.x gebaute Webseiten.
Das reCaptcha v3-Modul dient im Sinne des Erfinders dazu, Formulare vor Missbrauch zu schützen. Hat der Nutzer die Aufgabe des Google reCaptcha v3 gemeistert, werden in der angreifabren Version alle weiteren Formular-Validierungen umgangen. Dadurch öffnet sich für Angreifer laut dem Security Advisory von Drupal in der angreifbaren Version des Moduls die Gelegenheit, unvollständige Formulare einzuschleusen. Weitere Voraussetzung für einen Angriff sind Server-seitige Validierungsschritte im Zusammenspiel mit dem Captcha, etwa ein Pflichtfeld im Formular. In Version reCaptcha v3 8.x-1.2 ist die als kritisch eingestufte Lücke behoben.
Auch im Webform-Modul steckt laut Advisory eine kritische Lücke. Baut man mit dem Webform-Modul eine Checkbox für AGBs, besteht de Gefahr, dass wegen eines Fehlers beim Rendern der Checkbox-Elemente unveröffentlichte Inhalte im Checkbox-Element sichtbar werden. Auch hier hilft ein Update auf die Version Webform 8.x-5.12.
