Drupal-Admins sollten sicherstellen, dass die von ihnen genutzten Module des Content Management Systems (CMS) auf dem aktuellen Stand sind. Geschieht das nicht, können Angreifer Websites im schlimmsten Fall kompromittieren.
Im Sicherheitsbereich der CMS-Website listen die Entwickler sieben im April geschlossene Softwareschwachstellen auf. Zwei Sicherheitslücken stufen sie als "kritisch" ein. Eine betrifft das Panels-Modul (CVE-2025-3474), über das Admins benutzerdefinierte Seiten erstellen können. Weil Berechtigungen nicht ausreichend kontrolliert werden, können Angreifer an dieser Stelle manipulierend eingreifen.
Dafür benötigen sie aber bestimmte Informationen einer Seite, die nicht im Quellcode einer Website verfügbar sind. Panels 8.x-4.9 ist abgesichert.
Die zweite kritische Lücke (CVE-2025-3131) betrifft das Modul ECA: Event, mit dem man Automationen festlegt. An dieser Stelle sind über eine CSRF-Attacke etwa Zugriffe auf eigentlich abgeschottete Informationen möglich. ECA 1.1.12, 2.0.16 und 2.1.7 sind mit Sicherheitsupdates versehen.
Darüber hinaus gibt es noch Patches für die Module Access Code, Gif Player Field, Obfuscate, TacJS und WEB-T. Ob es bereits Attacken gibt, ist derzeit unbekannt.