{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen preiszugeben, Cross-Site-Scripting-Angriffe durchzuführen und Daten zu manipulieren.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Sonstiges\n- UNIX\n- Windows",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2025-0363 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0363.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2025-0363 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0363"
    }, {
      "category" : "external",
      "summary" : "Drupal Security Advbisory vom 2025-02-12",
      "url" : "https://www.drupal.org/sa-contrib-2025-014"
    }, {
      "category" : "external",
      "summary" : "Drupal Security Advbisory vom 2025-02-12",
      "url" : "https://www.drupal.org/sa-contrib-2025-015"
    }, {
      "category" : "external",
      "summary" : "Drupal Security Advbisory vom 2025-02-12",
      "url" : "https://www.drupal.org/sa-contrib-2025-016"
    }, {
      "category" : "external",
      "summary" : "Drupal Security Advbisory vom 2025-02-12",
      "url" : "https://www.drupal.org/sa-contrib-2025-017"
    } ],
    "source_lang" : "en-US",
    "title" : "Drupal: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2025-02-12T23:00:00.000+00:00",
      "generator" : {
        "date" : "2025-02-13T11:36:06.826+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.10"
        }
      },
      "id" : "WID-SEC-W-2025-0363",
      "initial_release_date" : "2025-02-12T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2025-02-12T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_version_range",
          "name" : "Open Social <12.3.11",
          "product" : {
            "name" : "Open Source Drupal Open Social <12.3.11",
            "product_id" : "T041172"
          }
        }, {
          "category" : "product_version",
          "name" : "Open Social 12.3.11",
          "product" : {
            "name" : "Open Source Drupal Open Social 12.3.11",
            "product_id" : "T041172-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:drupal:drupal:open_social__12.3.11"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "Open Social <12.4.10",
          "product" : {
            "name" : "Open Source Drupal Open Social <12.4.10",
            "product_id" : "T041173"
          }
        }, {
          "category" : "product_version",
          "name" : "Open Social 12.4.10",
          "product" : {
            "name" : "Open Source Drupal Open Social 12.4.10",
            "product_id" : "T041173-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:drupal:drupal:open_social__12.4.10"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "SpamSpan filter <3.2.1",
          "product" : {
            "name" : "Open Source Drupal SpamSpan filter <3.2.1",
            "product_id" : "T041174"
          }
        }, {
          "category" : "product_version",
          "name" : "SpamSpan filter 3.2.1",
          "product" : {
            "name" : "Open Source Drupal SpamSpan filter 3.2.1",
            "product_id" : "T041174-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:drupal:drupal:spamspan_filter__3.2.1"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "Configuration Split <1.10.0",
          "product" : {
            "name" : "Open Source Drupal Configuration Split <1.10.0",
            "product_id" : "T041175"
          }
        }, {
          "category" : "product_version",
          "name" : "Configuration Split 1.10.0",
          "product" : {
            "name" : "Open Source Drupal Configuration Split 1.10.0",
            "product_id" : "T041175-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:drupal:drupal:configuration_split__1.10.0"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "Configuration Split <2.0.2",
          "product" : {
            "name" : "Open Source Drupal Configuration Split <2.0.2",
            "product_id" : "T041176"
          }
        }, {
          "category" : "product_version",
          "name" : "Configuration Split 2.0.2",
          "product" : {
            "name" : "Open Source Drupal Configuration Split 2.0.2",
            "product_id" : "T041176-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:drupal:drupal:configuration_split__2.0.2"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "Drupal"
      } ],
      "category" : "vendor",
      "name" : "Open Source"
    } ]
  },
  "vulnerabilities" : [ {
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Drupal Open Social Project. Eine unzureichende Zugriffskontrolle in der Konfiguration der Website-Administration ermöglicht es nicht autorisierten Benutzern, die Übersetzungen bestimmter Elemente der Website zu ändern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsmaßnahmen zu umgehen. Um die Schwachstelle auszunutzen, muss das social_language-Modul mit mehr als einer Sprache aktiviert sein."
    } ],
    "product_status" : {
      "known_affected" : [ "T041173", "T041172" ]
    },
    "release_date" : "2025-02-12T23:00:00.000+00:00"
  }, {
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Drupal Open Social Project. Einladungen für einen bestimmten Benutzer sind unter bestimmten Bedingungen sichtbar. Ein Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsmaßnahmen zu umgehen und vertrauliche Informationen preiszugeben. Die Ausnutzung erfordert, dass social_event_max_enroll aktiviert ist."
    } ],
    "product_status" : {
      "known_affected" : [ "T041173", "T041172" ]
    },
    "release_date" : "2025-02-12T23:00:00.000+00:00"
  }, {
    "notes" : [ {
      "category" : "description",
      "text" : "In Drupal existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden in HTML-Datenattributen nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, authentisierter Angreifer, der in der Lage ist, span-HTML-Elemente mit Datenattributen in die Seite einzufügen, kann diese Schwachstelle ausnutzen, um beliebigen Skriptcode im Sicherheitskontext einer betroffenen Site auszuführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T041174" ]
    },
    "release_date" : "2025-02-12T23:00:00.000+00:00"
  }, {
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Drupal. Das Configuration Split Project ist anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender CSRF-Tokens in Routen zum Aktivieren oder Deaktivieren von Configuration Splits. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um die Splits zu verändern. Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer den Rechnernamen eines Splits kennen und einen autorisierten Benutzer dazu bringen, diesen zu ändern."
    } ],
    "product_status" : {
      "known_affected" : [ "T041176", "T041175" ]
    },
    "release_date" : "2025-02-12T23:00:00.000+00:00"
  } ]
}