Core

Die Schwachstelle steckt im Kern (Core) von Drupal, einem weit verbreiteten Content-Management-System. Bestimmte Feldtypen bereinigen Daten nicht zuverlässig, wenn diese nicht über ein reguläres Formular, sondern aus anderen Quellen stammen. Dadurch kann ein Angreifer unter bestimmten Umständen beliebigen PHP-Code zur Ausführung bringen und damit die Kontrolle über die betroffene Website erlangen. Verwundbar ist eine Website allerdings nur, wenn sie Daten über Web-Service-Schnittstellen entgegennimmt: etwa wenn das mitgelieferte Modul für RESTful Web Services aktiv ist und schreibende Anfragen per PATCH oder POST zulässt, oder wenn ein anderes Web-Service-Modul wie JSON:API eingesetzt wird. Sites ohne solche aktivierten Schnittstellen sind nicht angreifbar. Da die unsauber verarbeiteten Daten von außen eingespeist werden, eignet sich die Lücke dazu, eingeschleusten Code serverseitig auszuführen und das System zu übernehmen.